Le géant américain de l’edtech Instructure a reconnu le vol de données lors d’une cyberattaque, tandis que le groupe d’extorsion ShinyHunters en revendique la responsabilité.
Spécialiste de l’éducation, Instructure édite Canvas, un système de gestion de l’apprentissage (LMS) employé par de nombreux établissements scolaires, universités et entreprises pour organiser les cours, devoirs et formations en ligne.
Vendredi, l’entreprise a annoncé un incident de cybersécurité et collabore avec des experts externes ainsi qu’avec les autorités pour l’examiner.
Samedi, un communiqué actualisé précise que des données personnelles d’utilisateurs ont fuité, incluant noms, adresses e-mail, numéros d’identification étudiants et échanges entre usagers.
Aucune trace de mots de passe, dates de naissance, identifiants officiels ou détails financiers n’apparaît pour l’instant. Toute évolution déclenchera des alertes aux institutions touchées.
Instructure a appliqué des correctifs, renforcé la surveillance et renouvelé les clés d’applications par mesure de sécurité.
Les clients doivent réautoriser l’accès à l’API d’Instructure afin d’obtenir de nouvelles clés.
Instructure sur le site de fuites de ShinyHunters
ShinyHunters a inscrit Instructure sur sa plateforme de divulgation de données, affirmant avoir compromis près de 9 000 écoles dans le monde et affecté 275 millions de personnes, dont étudiants, enseignants et personnel, avec des PII.
Le groupe évoque des milliards de messages privés entre élèves et professeurs, ou entre élèves, ainsi qu’une brèche sur l’instance Salesforce et d’autres éléments.
Selon les hackers, l’exfiltration provient d’une faille système désormais corrigée, touchant plus de 240 millions d’enregistrements : noms d’étudiants, e-mails, cours suivis et conversations privées avec les enseignants.
Les échantillons fournis couvrent environ 15 000 institutions dans des zones comme l’Amérique du Nord, l’Europe et l’Asie-Pacifique.