Instructure conclut un accord avec le groupe d’extorsion ShinyHunters. L’éditeur du système de gestion d’apprentissage Canvas évite la diffusion en ligne des données volées lors d’une récente intrusion.
Plus de 30 millions d’enseignants et d’élèves exploitent Canvas dans plus de 8 000 établissements scolaires et universitaires à travers le monde.
Les cybercriminels restituent les données dérobées et fournissent des journaux de destruction. Instructure confirme que l’accord protège tous les clients. Personne ne subira d’extorsion, ni publiquement ni en privé. Les usagers n’ont aucune raison de négocier individuellement avec les attaquants.
Le FBI met en garde : le paiement d’une rançon n’empêche pas les pirates de revendre les données à d’autres malfaiteurs ou de relancer les chantages.
Le 7 mai, ShinyHunters pirate à nouveau Instructure via la même faille de sécurité. Les assaillants profanent les portails de connexion Canvas et affichent un message d’extorsion. Ils fixent une échéance au 12 mai pour ouvrir des négociations.
Les intrus exploitent une vulnérabilité dans l’environnement Free-for-Teacher, version gratuite et limitée de Canvas dànhée aux enseignants individuels. Ils dérobent plus de 3,6 téraoctets de données non compressées.
BleepingComputer révèle que les pirates tirent parti de plusieurs failles de type cross-site scripting (XSS). Ils injectent du JavaScript malveillant dans les fonctionnalités de contenu généré par les usagers. Ces manipulations procurent des sessions d’administration authentifiées et autorisent des opérations privilégiées.
Instructure modifie les pages visibles au moment de la connexion de certains élèves et enseignants. La plateforme Canvas retrouve son fonctionnement normal. Les clients surveillent les environnements, intégrations et activités administratives.
L’entreprise suspend provisoirement les comptes Free-For-Teacher et corrige les failles pour bloquer les attaques futures. La direction expose l’incident et les mesures de protection lors d’un webinaire le 13 mai.
En septembre 2025, Instructure subit une autre brèche revendiquée par ShinyHunters. Les assaillants accèdent aux données de l’instance Salesforce de l’éditeur.
ShinyHunters revendique aussi des intrusions chez Google, Cisco, PornHub, la Commission européenne, Match Group, Rockstar Games, ADT, Vimeo, McGraw-Hill, Medtronic et Zara.