Il 5 maggio 2026, il gigante dell’ed-tech Instructure, noto per il suo Learning Management System Canvas, ha confermato una grave violazione della sicurezza. L'incidente ha esposto una vasta quantità di dati personali, tra cui messaggi scambiati tra studenti e docenti, nomi, indirizzi email e ID utente. Al momento, non vi è alcuna prova che password o informazioni finanziarie siano state compromesse.
Il gruppo di cybercriminali ShinyHunters ha rivendicato la responsabilità dell'attacco, dichiarando di aver sottratto oltre 3,65 TB di dati. Questi dati, secondo il gruppo, riguarderebbero fino a 275 milioni di utenti e quasi 9.000 istituzioni educative a livello globale.
ShinyHunters ha inoltre lanciato un ultimatum esplicito: “FINAL WARNING PAY OR LEAK” - "Avvertimento finale, pagare o diffonderemo tutto".
La conferma ufficiale dell'incidente
Instructure ha comunicato tra il 1 e il 2 maggio di aver identificato un incidente di cybersicurezza attribuito a un "criminal threat actor". L'azienda ha immediatamente avviato una collaborazione con esperti forensi esterni. Entro il 2 maggio, la violazione è stata contenuta grazie alla revoca di credenziali privilegiate, alla reemissione di token di accesso, alla distribuzione di patch e al rafforzamento del monitoraggio su tutte le piattaforme interessate.
Instructure ha specificato che, al momento, non vi è evidenza che password, date di nascita, identificativi governativi o dati finanziari siano stati coinvolti nella fuga di informazioni.
L'entità dell'esposizione secondo i criminali
Il gruppo ShinyHunters sostiene che i dati trafugati interessano circa 275 milioni di utenti, inclusi studenti, docenti e personale di quasi 9.000 scuole e università in tutto il mondo. Il gruppo dichiara inoltre di aver sottratto 3,65 TB di dati, comprensivi di messaggi privati scambiati tra gli utenti di Canvas.
Un campione dei dati visionato ha rivelato comunicazioni provenienti da due istituti, uno nel Massachusetts e uno nel Tennessee, contenenti nomi, indirizzi email e, in alcuni casi, numeri di telefono, ma nessuna password.
Discrepanze tra le dichiarazioni
Instructure ha confermato la violazione, ma non ha convalidato l'entità del danno rivendicato da ShinyHunters.
Il numero di scuole coinvolte, tuttavia, appare in linea con gli circa 8.000 clienti dichiarati dalla società.
È stato evidenziato che i gruppi di ransomware tendono a gonfiare le cifre per aumentare la pressione sulle vittime.
Implicazioni per sicurezza e privacy
Oltre all'esposizione di dati identificativi, la violazione dei messaggi privati introduce un rischio significativo: migliaia di comunicazioni interne tra studenti, docenti e staff possono essere manipolate o utilizzate per attacchi di phishing mirati. Il rischio è amplificato dalle potenzialità di impersonificazione e di attacchi basati sull'inganno.
L'evento evidenzia anche una vulnerabilità strutturale: gli istituti scolastici spesso non possono valutare in dettaglio la cybersicurezza dei fornitori a cui affidano dati sensibili, generando una dipendenza rischiosa.
Un precedente preoccupante
Questo non è il primo incidente di sicurezza che ha coinvolto Instructure. Nel settembre 2025, sempre il gruppo ShinyHunters aveva violato la sua istanza Salesforce tramite social engineering. In quell'occasione, Instructure aveva dichiarato che i dati accessibili erano per lo più pubblici o relativi a contatti business, e che nessun dato Canvas era stato compromesso.
Il ripetersi dell'incidente in meno di un anno solleva seri interrogativi sull'efficacia delle misure di sicurezza implementate dopo il primo attacco.
In un contesto più ampio, si osserva una crescente serie di attacchi rivolti a piattaforme ed-tech che custodiscono grandi quantità di dati sensibili e indispensabili per migliaia di istituti.
Per le scuole che utilizzano Canvas, l'adozione di misure emergenziali quali il reset obbligatorio delle credenziali API, avvisi immediati ai destinatari e un monitoraggio attivo su possibili domini fake sono considerate essenziali.
L'evoluzione dell'evento sarà determinante: se ShinyHunters deciderà di divulgare i dati, si prospetta un'escalation con gravi conseguenze per centinaia di milioni di utenti, molti dei quali minori. Il ruolo delle autorità, dei garanti della privacy e degli istituti nel fornire tempestive notifiche e supporto agli utenti colpiti sarà cruciale nei prossimi giorni.
