A plataforma educacional Canvas, utilizada por mais de 30 milhões de utilizadores diariamente, foi alvo de um ataque informático realizado pelo grupo de piratas digitais ShinyHunters.
O ataque está a provocar desordem em escolas e universidades de todo o mundo, ao ter o acesso bloqueado aos estudantes em plena época de exames finais.
Os ShinyHunters ganharam destaque em 2020 com o suposto roubo de mais de 200 milhões de registos de dados de 13 empresas. No caso da plataforma Canvas, exigiam agora um resgate sob a ameaça de divulgação de dados pessoais.
Uma vez que a empresa se recusou a pagar, os criminosos cumpriram com a ameaça. A primeira grande consequência pública foi a publicação de um documento extenso no site de fuga de dados do grupo, escondido nas profundezas da dark web.
O ficheiro lista nove mil instituições afetadas. Foi partilhado por um utilizador do Reddit, aparentemente sem ligação ao grupo, e que garante apagá-lo no dia 1 de outubro de 2026.
Os hackers acrescentaram também no mesmo documento que aqueles que desejassem impedir a divulgação dos dados deveriam entrar em contato para um acordo: o prazo para tal é dia 12 de maio.
O Impacto em Portugal
Entre as nove mil entidades estão universidades portuguesas, como a Universidade Europeia, IPAM-Lisboa e IPAM-Porto, agrupadas sob o nome da entidade instituidora, Ensilis.
No entanto, a nota oficial publicada pela universidade IADE, garante que este incidente não teve impacto nos sistemas internos da universidade. Isso significa que as redes da própria escola, secretarias e servidores financeiros continuam seguros - a falha aconteceu exclusivamente nos servidores externos da empresa Instructure, o Canvas.
Afinal, que dados foram roubados?
As informações que estavam dentro da "sala de aula virtual" do Canvas foram comprometidas. A empresa e as universidades afetadas confirmaram que os hackers acederam a nomes, apelidos, e-mails institucionais, números de estudante e mensagens diretas trocadas na plataforma. Não há evidências de que palavras-passe, datas de nascimento ou dados financeiros tenham sido roubados.
Ainda assim, as universidades portuguesas já notificaram a Comissão Nacional de Proteção de Dados (CNPD) e alertaram a comunidade para desconfiar de e-mails, SMS ou chamadas suspeitas. Para segurança dos estudantes, não devem clicar em links desconhecidos, uma vez os criminosos podem usar os dados roubados para cometer fraudes.
