30 milhões de usuários. Essa é aproximadamente a base ativa do Canvas. A infraestrutura administra isso. Milhares de escolas dos EUA o utilizam para avaliar, ensinar e administrar o caos. Então os hackers o fecharam no final da semana passada.
O alvo era específico. As contas “gratuitas para professores” do Instructure foram violadas. Esses são os portais que dão acesso direto aos educadores. O grupo ShinyHunters ficou com o crédito. Eles reivindicam 275 milhões de registros roubados. Cerca de 9.000 instituições envolvidas. A Security Week relatou os números.
Na manhã de quarta-feira, a Instructure anunciou um acordo. Os hackers devolveriam os dados. Ou pelo menos exclua-o digitalmente. A empresa disse que recebeu confirmação. Além disso, uma garantia de que os clientes não enfrentariam extorsão. Eles não mencionaram o pagamento de resgate. Eles acabaram de agendar um webinar para discussão sobre “liderança”.
Este não é um território novo. A Instructure admite que é a segunda violação este ano. E-mails. Nomes de usuário. Nomes de cursos. Todos expostos. Justamente quando as faculdades estão se afogando em finais.
O Canvas voltou a ficar online no sábado. No entanto, seis universidades e dezenas de distritos escolares emitiram alertas. A CNN observou que o ShinyHunters estabeleceu um prazo de terça-feira para as negociações. Parece familiar.
Por que escolas? Porque eles são “ricos em alvos e pobres em recursos”. Os especialistas usam essas palavras com frequência.
Corremos para a edtech durante a pandemia. Sem treinamento. Sem redes de segurança. Agora nos perguntamos se podemos confiar nesses fornecedores. Se o Canvas não consegue proteger sua própria casa, o distrito consegue?
Muitas vezes eles servem como teatro de conformidade
A EdSurge considerou a segurança cibernética uma tendência importante para 2025. Talvez isso fosse otimista. Os ataques estão aumentando no ensino superior e no ensino fundamental e médio. A IA está tornando-os mais nítidos. 82 por cento do K-Here é uma organização K-12 que relatou um incidente recentemente. Isso está de acordo com o Center for Internet Security. Mais de 9.300 confirmações.
Aqui está como chegamos aqui:
- 2018: UE aprovou o GDPR. Regras claras.
- 2022: A Illuminate Education foi atingida. Os EUA ainda não tinham consenso nacional. Apenas leis estaduais dispersas.
- 2022: LAUSD recusou-se a pagar resgate. Gang despejou 500 GB na dark web. “Potes de mel”, os especialistas chamam de escolas.
- 2025: Início da administração Trump. Os cortes atingiram o apoio federal à segurança cibernética. Os distritos dizem que estão trabalhando “no escuro”.
- 2025: EdSurge relatou distritos lutando contra ameaças de IA. As escolas pequenas são alvos fáceis. A melhor defesa são, na verdade, as pessoas. Não firewalls. Pessoas.
Douglas Levin fala isso sem rodeios nas redes sociais. As auditorias atuais são escudos fracos. Teatro de conformidade.
A equipe precisa de treinamento. As crianças precisam de consciência. Mas os orçamentos são apertados. As ameaças ficam mais inteligentes. Os dados permanecem arriscados.
O que acontece quando o próximo alerta chega às 3 da manhã de uma terça-feira?
