Instructure, l’azienda che sviluppa il noto portale scolastico Canvas, ha dichiarato martedì di aver “raggiunto un accordo” con gli hacker che hanno violato i suoi sistemi per ben due volte, sottraendo un’enorme quantità di dati di studenti e personale scolastico e causando disservizi a migliaia di istituti che utilizzano il software della società.
Il gruppo cybercriminale ShinyHunters, noto per operazioni a scopo economico, si è attribuito la responsabilità della violazione avvenuta il 29 aprile, sostenendo di aver rubato dati relativi a studenti e dipendenti, comprese informazioni personali, per un totale di 275 milioni di persone. Gli hacker hanno affermato di essere riusciti a compromettere Canvas, la piattaforma utilizzata da quasi 9.000 scuole per la gestione dei dati degli studenti e delle attività didattiche.
La settimana successiva, il gruppo ha colpito nuovamente l’azienda, alterando le pagine di accesso di Canvas presenti sui siti web scolastici, nel tentativo di aumentare la pressione su Instructure affinché pagasse il riscatto richiesto.
In una nota pubblicata lunedì sera sulla pagina dedicata all’incidente, Instructure ha spiegato che, nell’ambito dell’accordo raggiunto, gli hacker avrebbero fornito prove della distruzione dei dati sottratti e che i clienti di Canvas non sarebbero stati oggetto di ulteriori tentativi di estorsione.
L’azienda ha comunque ammesso che “non esiste mai una certezza assoluta” quando si negozia con criminali informatici, aggiungendo però che i clienti non dovrebbero essere costretti a interagire direttamente con gli hacker.
I dettagli economici dell’accordo non sono stati resi pubblici e Instructure non ha specificato quale somma sia stata eventualmente versata ai criminali. Brian Watkins, portavoce della società, non ha voluto aggiungere ulteriori commenti oltre al comunicato ufficiale e ha evitato di rispondere alle domande relative all’intesa.
In un messaggio pubblicato sul proprio sito dedicato alle fughe di dati, visionato anche da TechCrunch, ShinyHunters minacciava di diffondere pubblicamente le informazioni rubate a Instructure nel caso in cui l’azienda non avesse accettato di pagare.
Martedì, tuttavia, il riferimento alla vicenda era stato rimosso dalla pagina del gruppo, un elemento che lascia ipotizzare che il riscatto possa essere stato effettivamente pagato.
Un rappresentante di ShinyHunters ha dichiarato a TechCrunch: “I dati sono stati eliminati, spariti. L’azienda e i suoi clienti non saranno ulteriormente presi di mira né contattati da noi per richieste di pagamento.”
Non è chiaro perché Instructure abbia deciso di cedere alle richieste degli hacker. Da anni, diversi governi — inclusi gli Stati Uniti — invitano le vittime di attacchi informatici a non pagare riscatti, poiché ciò consente ai cybercriminali di trarre profitto dalle proprie attività illegali. Gli esperti di sicurezza sottolineano inoltre che non è possibile fidarsi della parola degli hacker: in passato alcuni gruppi criminali hanno continuato a conservare dati rubati pur sostenendo di averli cancellati, così da poter continuare a ricattare le vittime.
L’attacco subito da Instructure ricorda molto quello che ha colpito PowerSchool, vittima nel 2024 di una massiccia violazione che aveva coinvolto circa 70 milioni tra studenti e dipendenti scolastici. Anche PowerSchool, che sviluppa software per la gestione scolastica, aveva pagato gli hacker per ottenere la restituzione dei dati sottratti, ma in seguito diversi clienti erano stati nuovamente ricattati da un altro gruppo criminale che disponeva ancora di parte delle informazioni trafugate.
La scorsa settimana l’FBI ha dichiarato in un comunicato di essere “a conoscenza” delle interruzioni ai sistemi che hanno colpito scuole e istituti educativi negli Stati Uniti. Pur senza citare direttamente Canvas, l’agenzia ha ricordato alle vittime di “non inviare pagamenti né rispondere” alle richieste avanzate dai cybercriminali.
Tra i dati sottratti a Instructure — alcuni dei quali visionati da TechCrunch — figurano nomi degli studenti, indirizzi email personali e messaggi scambiati tra docenti e studenti, inclusi contenuti privati e informazioni sensibili.
Sul proprio sito web, Instructure ha confermato che gli hacker sono riusciti a violare i sistemi aziendali due volte nell’arco di meno di un anno, precisando però che i due episodi sarebbero “eventi distinti” che hanno coinvolto infrastrutture differenti.
L’azienda ha aggiunto che l’indagine interna è ancora in corso e che i risultati ottenuti finora sono in fase di verifica.
Resta inoltre poco chiaro chi, all’interno di Instructure, sia responsabile della sicurezza informatica oltre all’amministratore delegato Steve Daly. Contattata da TechCrunch, la società non ha voluto chiarire se Daly abbia intenzione di dimettersi dopo le violazioni subite.
