Canvas hackerato: 9.000 università e 275 milioni di dati esposti

Il 25 aprile 2026 il gruppo di cybercriminali ShinyHunters ha perpetrato un grave attacco informatico ai danni di Instructure, azienda americana produttrice di Canvas, piattaforma LMS utilizzata da quasi 9.000 università in tutto il mondo. La violazione ha permesso l'esfiltrazione di circa 3,5 terabyte di dati appartenenti a 275 milioni di studenti e docenti, inclusi username, email istituzionali, messaggi privati e informazioni di immatricolazione. La vulnerabilità sfruttata riguardava gli account Free-For-Teacher, la versione gratuita di Canvas. Conseguentemente, molte università, tra cui diverse americane, hanno dovuto rinviare o cancellare le sessioni d'esame finali, causando disagi significativi al mondo accademico internazionale. Canvas è una piattaforma centralizzata per la didattica universitaria, sviluppata da Instructure, che integra funzionalità di distribuzione materiale, gestione attività, comunicazioni e valutazioni. La sua vasta adozione globale e la quantità di dati raccolti rendono la piattaforma un obiettivo di alto valore per gli attacchi informatici. Nel 2026, la falla riguardante gli account gratuiti è stata sfruttata da ShinyHunters, che attraverso una prima richiesta di riscatto ha poi minacciato direttamente le università coinvolte. Sebbene Instructure abbia raggiunto un accordo con i criminali e abbia ottenuto la distruzione digitale dei dati, i rischi per la privacy degli utenti permangono. Le principali raccomandazioni a studenti e docenti coinvolti sono di modificare immediatamente le password, attivare l'autenticazione a due fattori se possibile e di essere cauti di fronte a possibili tentativi di phishing basati sulle informazioni trapelate. L'incidente ha inoltre evidenziato errori comuni nella sicurezza delle piattaforme LMS, come la sottovalutazione dei piani gratuiti e l'errata percezione della sensibilità dei dati accademici, sottolineando l'importanza di un approccio complessivo alla sicurezza e una maggiore consapevolezza degli utenti."