Nuovo allarme nel settore education. Il gruppo cybercriminale ShinyHunters avrebbe sottratto circa 3,65 terabyte di dati da una piattaforma didattica utilizzata da migliaia di scuole e università nel mondo. Il bersaglio dell’attacco sarebbe l’ecosistema di Instructure, società che gestisce la piattaforma Canvas LMS.
L’operazione, rivendicata il 3 maggio 2026, potrebbe coinvolgere circa 9.000 istituzioni scolastiche e oltre 275 milioni di utenti tra studenti, insegnanti e personale amministrativo. I cybercriminali avrebbero inoltre avviato una campagna di estorsione minacciando la pubblicazione dei dati sottratti.
Tra le informazioni potenzialmente compromesse ci sarebbero nomi, indirizzi email, identificativi degli studenti, comunicazioni interne e dati accademici e amministrativi. Al momento non emergono conferme sul furto di password o dati finanziari, ma il rischio resta elevato soprattutto per possibili campagne di phishing mirato e social engineering.
L’analisi pubblicata evidenzia anche possibili collegamenti con precedenti incidenti che avrebbero coinvolto ambienti Salesforce. Già nel settembre 2025 Instructure aveva infatti comunicato un problema di sicurezza legato a tecniche di social engineering contro la propria infrastruttura SaaS.
Secondo le ipotesi riportate, gli attaccanti potrebbero aver sfruttato token OAuth compromessi, integrazioni cloud vulnerabili o accessi ottenuti indirettamente tramite phishing e vishing. Una metodologia che riflette le più recenti campagne condotte contro piattaforme cloud interconnesse.
Gli esperti invitano ora le istituzioni scolastiche a verificare le integrazioni attive con Canvas LMS, controllare eventuali anomalie nei log API, rafforzare l’autenticazione e informare studenti e personale sui rischi legati al phishing. Per gli enti europei potrebbe inoltre emergere la necessità di valutare eventuali obblighi di notifica previsti dal GDPR in caso di esposizione di dati personali.