Mag192026

3,65 TB di dati rubati da piattaforma didattica

ShinyHunters , noto gruppo specializzato nel furto di dati e nelle violazioni di sicurezza, salito alla ribalta nel 2020 per aver divulgato e venduto milioni di dati relativi agli utenti di aziende di tutto il mondo, ha rivendicato presso i propri canali  il furto di grandi volumi di dati avviando anche una campagna di estorsione. Le dimensioni rivendicate:

  •  circa 9.000 istituzioni scolastiche coinvolte
  •  275 milioni di individui tra studenti, insegnanti e staff
  •  3,65 TB di dati

Recentemente Instructure ha pubblicato sul proprio Blog un post relativo un incidente di sicurezza che ha interessato Canvas LMS. Canvas LMS, è la piattaforma usata da scuole, università e altri enti formativi per organizzare corsi, materiali didattici, compiti, voti e comunicazioni tra docenti e studenti. E’ uno tra gli strumenti che vengono utilizzati da molte istituzioni per la didattica online o mista in modo centralizzato e ordinato.

Non si tratta solo quindi di un software “di passaggio”, contiene dati accademici e anche delle comunicazioni tra gli utenti, quindi un incidente su questa piattaforma può avere conseguenze ampie sia per studenti, che per insegnanti e amministratori.

Qualora questo incidente sia confermato, risulterebbe rilevante per il settore education. Questa sequenza di eventi, mostra un interesse da parte del cybercrime verso l’ecosistema Instructure-Salesforce. Infatti, il 21 settembre 2025, Instructure aveva comunicato ufficialmente un precedente incidente di sicurezza legato a un attacco di social engineering, aveva coinvolto la propria istanza Salesforce, precisando che nessun prodotto Instructure né dati di prodotto erano stati accessi e che i dati coinvolti erano per lo più informazioni aziendali pubblicamente disponibili​.

Anche se sono due episodi distinti potrebbe potenzialmente essere collegati sul piano dell’interesse degli attaccanti verso le superfici SaaS di Instructure. Ciò non significa che i due episodi abbiano avuto la stessa causa tecnica, ma è possibile che Instructure sia stata osservata e presa di mira, soprattutto attraverso punti sensibili dell’ecosistema SaaS: quelli in cui CRM, piattaforme didattiche e varie integrazioni applicative si intrecciano.

L’FBI nel 2025 ha descritte le campagne UNC6040 e UNC6395   come due modelli ricorrenti: abuso della fiducia nelle applicazioni SaaS e sfruttamento di accessi indiretti tramite social engineering o token OAuth compromessi. Il comunicato ufficiale di Instructure del 21 settembre 2025 va nella stessa direzione: racconta che l’azienda era già stata colpita da un attacco di social engineering legato a Salesforce, proprio in linea con i modelli di attacco che l’FBI e altri ricercatori stavano osservando in quel periodo.

Nel caso Canvas 2026, il riferimento nel banner a “Your Salesforce instance was also breached” non prova da solo una compromissione tecnica generalizzata di tutte le integrazioni Canvas-Salesforce, ma suggerisce che gli attaccanti intendono rappresentare i dati Canvas e i dati CRM collegati come parte dello stesso perimetro di danno. La correlazione più solida è quindi di tipo operativo e strategico: nel 2025 si sono osservati attori che monetizzavano accessi a Salesforce tramite app connesse, vishing e token; nel 2026 si osserva uno schema coerente di pressione estorsiva su una piattaforma educativa SaaS con possibile sfruttamento delle sue integrazioni.

Secondo un alert dell’FBI, negli ultimi mesi più gruppi di attaccanti hanno preso di mira istanze Salesforce per rubare dati e avviare campagne di estorsione. Le tecniche utilizzate includono:

  • social engineering per ottenere credenziali
  • compromissione di token OAuth legati a integrazioni cloud
  • accesso a sistemi interconnessi e successiva esfiltrazione dei dati
  • In diversi casi, le richieste di riscatto sono state attribuite allo stesso gruppo che rivendica l’attacco a Canvas LMS.
  • Una campagna, non un singolo attacco

Questo elemento cambia la lettura del caso. Se l’accesso a Instructure fosse avvenuto attraverso sistemi collegati come suggerito nel messaggio degli attaccanti il breach non sarebbe un incidente isolato, ma parte di una strategia più ampia. Negli ultimi mesi, campagne simili hanno colpito altre organizzazioni sfruttando configurazioni errate, integrazioni di terze parti e identità digitali compromesse.

Nel caso di Canvas LMS, il valore non è solo nei numeri. Le comunicazioni interne tra studenti, docenti e amministrazione rappresentano dati ad alto contenuto informativo. Anche un dataset limitato, se ben strutturato, può essere utilizzato per estorsione mirata, phishing avanzato e attacchi di social engineering.

FONTE: Redhotcyber.com