Le hacker d’Instructure revendique le vol de données de 8 800 écoles et universités

Le hacker d'Instructure revendique le vol de données de 8 800 écoles et universités

Le groupe d’extorsion ShinyHunters revendique la responsabilité d’une violation de données chez Instructure, un géant de la technologie éducative. Les attaquants affirment avoir exfiltré 280 millions d’enregistrements concernant des étudiants et du personnel de 8 809 établissements scolaires, districts universitaires et plateformes d’apprentissage en ligne.

Le rôle central de Canvas

Instructure fournit des solutions basées sur le cloud pour l’éducation, avec son système de gestion d’apprentissage Canvas au cœur de son offre. Cette plateforme sert à organiser les cours, les devoirs, les notes et les échanges entre enseignants et apprenants dans les écoles et les universités.

Instructure listing on ShinyHunters data leak site
Instructure listing on ShinyHunters data leak site

 

L’annonce de la brèche

Le vendredi précédent, Instructure a signalé une enquête en cours sur une cyberattaque, avant de confirmer une fuite de données. Les informations compromises incluent les noms des utilisateurs, leurs adresses e-mail et les messages privés échangés sur la plateforme.

La liste des victimes potentielles

Les cybercriminels ont diffusé une liste détaillant 8 809 institutions éducatives touchées, avec des estimations de volumes de données par entité, variant de dizaines de milliers à plusieurs millions d’enregistrements chacune. Aucune organisation spécifique n’est citée ici, faute de vérification indépendante de l’impact réel.

Techniques d’exfiltration employées

Les assaillants décrivent avoir exploité les fonctionnalités d’exportation de données de Canvas, notamment les requêtes DAP, les rapports de provisionnement et les API utilisateur. Cette opération aurait permis de collecter des centaines de gigaoctets de profils utilisateurs, de messages et de données d’inscription.

Premières réactions des universités

Plusieurs établissements ont réagi publiquement. L’University of Colorado Boulder a averti d’une brèche nationale affectant de multiples institutions via le fournisseur de Canvas. Rutgers indique n’avoir reçu aucune notification d’impact direct, avec la plateforme restant opérationnelle. L’Université de Tilburg mène une enquête pour évaluer les conséquences potentielles sur ses systèmes et a interrogé le fournisseur pour plus de précisions.