Indice: In breve | Cos'è Canvas: il sistema che centralizza la didattica universitaria | L'attacco del 2026: come ShinyHunters ha violato Canvas | Le conseguenze per studenti e università nel mondo | Come proteggere i propri dati dopo un data breach su Canvas | Errori comuni sulla sicurezza delle piattaforme LMS | Domande frequenti
Il 25 aprile 2026 il gruppo di cybercriminali ShinyHunters ha violato i sistemi di Instructure, l'azienda americana che gestisce Canvas, il principale sistema di gestione dell'apprendimento usato da quasi 9.000 università nel mondo. In pochi giorni sono stati scaricati circa 3,5 terabyte di dati appartenenti a 275 milioni di studenti e docenti, paralizzando le sessioni d'esame di numerosi atenei negli Stati Uniti, in Canada, Australia e nel Regno Unito.
In breve
* Il gruppo ShinyHunters ha violato Canvas, la principale piattaforma LMS usata da quasi 9.000 istituti universitari in tutto il mondo
* Rubati circa 3,5 terabyte di dati: 275 milioni di profili tra studenti e docenti, inclusi username, email istituzionali, messaggi privati e informazioni di immatricolazione
* La vulnerabilità sfruttata riguardava gli account gratuiti Free-For-Teacher, la versione free del software messa a disposizione degli insegnanti
* Diverse università americane, tra cui Mississippi State, Penn State e Idaho State, hanno rimandato o cancellato gli esami finali
* Instructure ha comunicato di aver raggiunto un accordo con i criminali informatici e di aver ricevuto conferma della distruzione dei dati rubati
Cos'è Canvas: il sistema che centralizza la didattica universitaria
Canvas è il principale sistema di gestione dell'apprendimento (LMS, Learning Management System) a livello universitario globale. Sviluppata dall'azienda statunitense Instructure, la piattaforma centralizza in un'unica interfaccia web e mobile tutto ciò che serve alla didattica digitale: la distribuzione dei materiali di corso, la gestione delle consegne, i calendari degli esami e delle scadenze, le comunicazioni tra docenti e studenti, le valutazioni e le rubriche di correzione.
La diffusione è capillare: quasi 9.000 istituti di istruzione in tutto il mondo usano Canvas come infrastruttura principale per la didattica, con una concentrazione maggiore negli Stati Uniti, ma con presenza significativa anche in Canada, Australia e Regno Unito. Ogni giorno milioni di studenti e docenti accedono alla piattaforma, che raccoglie e conserva una quantità considerevole di dati personali: nomi e cognomi, indirizzi email istituzionali, identificativi degli studenti, storico delle comunicazioni private, informazioni di immatricolazione e progressi accademici. Questa concentrazione di dati in un'unica piattaforma accessibile via web rende Canvas un obiettivo ad alto valore per i gruppi di cybercriminali.
L'attacco del 2026: come ShinyHunters ha violato Canvas
L'intrusione è cominciata il 25 aprile 2026, quando ShinyHunters ha sfruttato una vulnerabilità presente negli account Free-For-Teacher, la versione gratuita di Canvas messa a disposizione degli insegnanti per uso personale o sperimentale. Attraverso questa porta d'accesso, il gruppo ha ottenuto credenziali sufficienti a penetrare nei sistemi di Instructure e scaricare circa 3,5 terabyte di dati. Solo quattro giorni dopo, il 29 aprile, l'azienda ha individuato l'intrusione.
Come misura immediata, le funzionalità Free-For-Teacher sono state temporaneamente disabilitate, ma i dati erano già stati esfiltrati. ShinyHunters ha richiesto un riscatto in bitcoin con una prima scadenza al 6 maggio. Quando Instructure non ha risposto, il gruppo ha cambiato tattica: il 7 maggio un messaggio è apparso direttamente sulla pagina di login di Canvas per oltre 300 istituti, invitando le singole università a contattare privatamente gli hacker per negoziare un accordo. I dati compromessi includono username, indirizzi email, nomi dei corsi, informazioni di immatricolazione e messaggi privati. Informazioni finanziarie e password crittografate non sono state trafugate.
Le conseguenze per studenti e università nel mondo
L'impatto sull'attività accademica è stato immediato. La Mississippi State University è stata costretta a rimandare gli esami finali per permettere agli studenti di recuperare i materiali salvati sulla piattaforma, mentre la Penn State University e l'Idaho State University hanno direttamente cancellato le sessioni d'esame già programmate. La temporanea interruzione del servizio ha riguardato istituti negli Stati Uniti, in America del Sud e in Australia, concentrando gli effetti operativi nelle settimane critiche di fine anno accademico.
In Italia, la LUISS di Roma compare nell'elenco degli istituti pubblicato da ShinyHunters, ma l'università ha dichiarato di non aver trovato prove del data breach nei propri sistemi. I servizi di sicurezza informatica dell'ateneo non hanno rilevato evidenze di compromissione. Instructure ha comunicato di aver raggiunto un accordo con il gruppo criminale, ricevendo conferma digitale della distruzione di tutti i dati sottratti, e ha reso noto che le singole università non avrebbero dovuto trattare direttamente con i ricattatori. La piattaforma è attualmente tornata pienamente operativa.
Come proteggere i propri dati dopo un data breach su Canvas
* Cambia la password di accesso a Canvas scegliendo una combinazione unica, diversa da quella usata su altri servizi * Attiva l'autenticazione a due fattori sul portale istituzionale della tua università, se disponibile * Verifica le comunicazioni ufficiali del tuo ateneo: l'università può avere indicazioni specifiche sul breach o misure aggiuntive da adottare * Presta attenzione a email sospette che citano dati personali come nome, numero di matricola o corso frequentato: potrebbero essere tentativi di phishing costruiti sui dati esposti * Se usi la stessa email istituzionale su più piattaforme, controlla che le password siano diverse per ciascun servizio
Errori comuni sulla sicurezza delle piattaforme LMS
Sottovalutare la versione gratuita come vettore di attacco: le istituzioni e le aziende software tendono a concentrare i controlli di sicurezza sulle versioni enterprise, trascurando i tier gratuiti o di prova. Nel caso di Canvas, la vulnerabilità sfruttata era proprio nell'account Free-For-Teacher, un'area percepita come meno critica. I piani gratuiti di qualsiasi piattaforma SaaS sono spesso punti d'accesso con monitoraggio ridotto rispetto agli ambienti pagati.
Ritenere che i dati accademici siano meno sensibili di quelli finanziari: username, email istituzionali, storico dei messaggi privati e dati di immatricolazione hanno un valore concreto sul mercato del dark web. Possono essere usati per campagne di phishing mirate verso studenti e docenti, per attacchi di social engineering o per accedere a servizi universitari collegati. L'assenza di dati di pagamento tra le informazioni rubate non riduce il rischio complessivo per gli utenti coinvolti.
Non aggiornare le credenziali dopo un breach che ha esposto email e username: il rischio non si esaurisce con il ripristino del sistema da parte del provider. Chi usa le stesse credenziali Canvas su altri servizi (email personale, social, altri portali di ateneo) resta esposto anche dopo che la piattaforma è tornata operativa. Cambiare la password e attivare l'autenticazione a due fattori, dove disponibile, riduce significativamente la superficie di attacco residua.
Domande frequenti
Canvas è sicura da usare ora?
Instructure ha dichiarato che la piattaforma è tornata pienamente operativa e sicura dopo il ripristino dei sistemi. L'accordo raggiunto con ShinyHunters include la conferma digitale della distruzione dei dati rubati. Chi utilizza Canvas in ambito universitario può riprendere l'attività normalmente, verificando le comunicazioni ufficiali del proprio ateneo per eventuali indicazioni aggiuntive.
I miei dati finanziari sono stati compromessi?
No. Instructure ha confermato che le informazioni finanziarie e le password crittografate non rientrano tra i dati esfiltrati. I dati esposti riguardano username, indirizzi email, nomi dei corsi, informazioni di immatricolazione e messaggi privati scambiati sulla piattaforma.
Cosa fare se sono uno studente o docente che usa Canvas?
La prima azione consigliata è cambiare la password di accesso a Canvas, specialmente se la stessa password viene usata su altri servizi. Verificare le comunicazioni ufficiali della propria università è il passo successivo: alcune istituzioni hanno predisposto misure specifiche o canali di assistenza dedicati. Dove il portale istituzionale lo consente, attivare l'autenticazione a due fattori riduce il rischio residuo. Prestare attenzione a email che citano dati personali precisi: il phishing mirato è la conseguenza più comune dopo un breach di questa portata.
Chi è ShinyHunters e quali altri attacchi ha condotto?
ShinyHunters è un gruppo di cybercriminali noto per attacchi a grande scala contro aziende con archivi di dati di massa. Il gruppo è stato associato a violazioni di servizi come Ticketmaster e Santander nel 2024. Il settore dell'istruzione, con la sua elevata concentrazione di dati personali e strutture di sicurezza spesso non allineate a quelle del settore privato, è diventato un bersaglio sempre più frequente negli ultimi anni.
L'attacco a Canvas mostra come le piattaforme che aggregano dati su larga scala siano obiettivi prioritari per i gruppi di cybercriminali, indipendentemente dal settore in cui operano. La concentrazione dei dati di milioni di studenti e docenti in un singolo sistema crea vulnerabilità strutturali che nessun aggiornamento puntuale può eliminare del tutto. Per chi studia o insegna attraverso queste piattaforme, adottare pratiche di sicurezza di base come password uniche e autenticazione a due fattori resta la misura più concreta a disposizione.