Invasão massiva ao Canvas expõe 275 milhões de usuários, incluindo, possivelmente, instituições brasileiras de ensino

Ataque global coordenado pelo grupo ShinyHunters afeta universidades de seis continentes, incluindo possivelmente instituições brasileiras renomadas

Um dos maiores ataques cibernéticos contra o setor educacional global foi confirmado em maio de 2026. A plataforma Canvas, sistema de gerenciamento acadêmico utilizado por aproximadamente 30 milhões de usuários em 8.809 instituições de ensino no mundo, foi invadida por criminosos digitais que roubaram 3,65 terabytes de dados sensíveis, incluindo informações de estudantes, docentes e funcionários. O grupo ShinyHunters assume a autoria do ataque e ameaça publicar as informações na dark web.

Cronologia: Como tudo aconteceu

O ataque ocorreu em duas fases distintas:

30 de abril de 2026 – Primeiros sinais de invasão detectados. Ferramentas dependentes de chaves de API começam a falhar à tarde.

1º de maio de 2026 – Instructure confirma oficialmente: “Experimentamos um incidente de cibersegurança perpetrado por um ator de ameaça criminosa”.

2 de maio de 2026 – Instructure anuncia que a situação foi “contida”, mas revela roubo de nomes, emails, IDs de estudantes e mensagens.

3 de maio de 2026 – ShinyHunters publica a Instructure em fórum de extorsão da dark web. Prazo inicial: 6 de maio para negociações.

6 de maio de 2026 – Instructure afirma que Canvas voltou ao funcionamento normal. Nenhuma evidência de comprometimento de senhas ou dados financeiros.

7 de maio de 2026 (1:20 p.m. PDT) – SEGUNDO ATAQUE: ShinyHunters defaca aproximadamente 330 portais de login de escolas. Prazo atualizado: 12 de maio. Instructure leva Canvas offline.

11 de maio de 2026 – Instructure anuncia acordo com ShinyHunters por valor não divulgado e afirma que dados comprometidos foram destruídos. Canvas volta online.

13 de maio de 2026 (HOJE) – Instructure anuncia webinar com sua liderança em múltiplos fusos horários para detalhar o ataque e as ações para “endurecimento” dos sistemas.

A dimensão assustadora do roubo

De acordo com o grupo criminoso ShinyHunters: 3,65 terabytes de dados extraídos • Aproximadamente 275 milhões de registros de usuários • Bilhões de mensagens privadas trocadas entre estudantes e professores • Dados de aproximadamente 8.800 instituições de ensino e empresas • Nomes, emails institucionais, IDs de estudantes e histórico de comunicações

Segundo o diretor de segurança da informação da Instructure, Steve Proud, a empresa “não identificou evidência de comprometimento de senhas, datas de nascimento, identificadores governamentais ou informações financeiras”. No entanto, especialistas em cibersegurança alertam que ter acesso a nomes, emails e histórico de mensagens é suficiente para criar campanhas convincentes de phishing.

Estados Unidos em caos durante período de provas

O timing do ataque não foi acidental. ShinyHunters atacou durante a semana de provas finais e testes avançados em muitas instituições americanas, maximizando a pressão para pagamento de resgate. Dezenas de universidades de elite foram atingidas:

Harvard University • Stanford University • MIT (Massachusetts Institute of Technology) • Columbia University • Princeton University • Yale University • Georgetown University • Rutgers University • Penn State University

No segmento de educação básica (K-12), grandes redes públicas foram atingidas, incluindo sistemas de Las Vegas, Broward County (Flórida) e Houston (Texas). Estudantes em vários estados relataram perda de acesso a materiais de estudo, tarefas e notas durante períodos críticos de avaliação.

A reação foi política. O líder democrata no Senado dos EUA, Chuck Schumer, enviou carta à administração Trump pedindo fortalecimento das defesas contra ameaças cibernéticas, especialmente diante dos avanços em inteligência artificial. O Departamento de Segurança Nacional foi acionado para auxiliar estados e municípios.

Alcance global: seis continentes afetados

Este não é um ataque isolado aos EUA. Canvas opera globalmente em 41% das instituições de educação superior dos Estados Unidos, mas também em dezenas de outros países. Instituições em seis continentes foram impactadas, conforme confirmado por análises de segurança:

• América do Norte: Estados Unidos, Canadá (Universidade de British Columbia), México

• Europa: Reino Unido, Suécia, Holanda

• Ásia-Pacífico: Hong Kong, Singapura, Austrália (Universidade de Sydney com orientação para desconexão)

• Oceania: Austrália, Nova Zelândia

Brasil: dez instituições na lista de afetadas

A invasão ao Canvas também afeta significativamente o Brasil. De acordo com análises de pesquisadores de cibersegurança, pelo menos dez instituições brasileiras de ensino superior estão entre as potencialmente afetadas:

Instituições brasileiras na lista de clientes do Canvas.

✓ ESPM (Escola Superior de Propaganda e Marketing) ✓ Estácio de Sá ✓ UNIP (Universidade Paulista) ✓ Faculdade Cásper Líbero ✓ EBAC (Escola Britânica de Artes Criativas) ✓ Escola Sagrada Família ✓ Faculdade Católica Paulista ✓ Faculdade de Ciências Médicas de Minas Gerais ✓ Faculdade de Direito de Vitória ✓ Associação Brasileira de Bancos – Febranan

As informações apresentadas nesta publicação têm caráter exclusivamente informativo e foram obtidas a partir de fontes disponíveis publicamente de clientes recentes do canvas sem contato direto com as instituições brasileiras mencionadas. O Crypto ID não confirma, atesta nem afirma qualquer comprometimento, falha ou responsabilidade por parte das instituições listadas.

Além de instituições de ensino, dados de organizações brasileiras de diversos setores constam nas bases roubadas. A lista de potencialmente afetadas também inclui empresas de tecnologia, comércio e serviços financeiros.

ShinyHunters: um grupo internacional de ciberextorsionistas

Pouco era publicamente conhecido sobre ShinyHunters até recentemente, mas investigadores de cibersegurança e autoridades federais conseguiram traçar um perfil mais claro:

Perfil: Grupo descrito como “solto” de adolescentes e jovens adultos, baseados nos EUA e Reino Unido

Ativo desde: 2019, evoluindo para operações de extorsão e roubo de dados

Histórico criminal: Responsável pelo roubo de dados de mais de 60 empresas, colocando informações à venda em fóruns da dark web

Crimes conhecidos: Em 2024, reivindicou roubo de dados de 560 milhões de clientes da Ticketmaster, incluindo telefones e informações parciais de cartões de crédito

Em 2024, o Departamento de Justiça americano anunciou a sentença de Sebastien Raoult, francês de 22 anos, descrito como membro de “notório grupo internacional de hackers” ligado ao nome ShinyHunters. Raoult foi condenado a três anos de prisão e ordenado a pagar mais de 5 milhões de dólares.

Como foi a invasão: a falha na cadeia de segurança

A Instructure revelou que o ponto de entrada foi através de contas “Free-For-Teacher”, programa que oferece acesso gratuito à plataforma para educadores. Segundo investigações, ShinyHunters explorou vulnerabilidades nestas contas de acesso em dois momentos:

Primeira invasão (fim de abril): Roubo inicial de dados via acesso não autorizado a chaves de API

Segunda invasão (7 de maio): Defacement de portais de login após Instructure não responder a demandas de extorsão

Na mensagem de resgate exibida aos usuários, ShinyHunters criticou explicitamente a resposta da Instructure: “Em vez de nos contactarem para resolver, nos ignoraram e implementaram alguns ‘patches de segurança’. Isso nos forçou a tomar medidas mais agressivas.”

Que informações os criminosos têm

O roubo inclui: nomes completos de estudantes, professores e funcionários, endereços de email institucionais, ids de estudantes, histórico completo de mensagens privadas entre usuários , conteúdo de cursos, informações sobre instituições e empresas

O que NÃO foi comprometido: Senhas de usuários, datas de nascimento, informações financeiras

Os riscos reais para usuários afetados

Richard Kolko, agente especial retirado do FBI, alerta para o perigo em longo prazo: “O risco para estudantes não é apenas hoje, mas amanhã. Eles agora têm essa informação sobre estes estudantes, e dentro de alguns anos, podem usar parte dessa informação para atacá-los.”

Os perigos imediatos incluem:

Phishing sofisticado: Com informações sobre turmas, professores e colegas, criminosos podem criar mensagens falsas altamente convincentes, simulando comunicados de coordenadores de TI, secretarias ou professores

Roubo de identidade: Dados de nomes, emails e IDs podem ser usados para fraudes e crimes de identidade

Chantagem: Informações sobre comunicações privadas podem ser usadas para extorsão

Vazamento em massa: Se ShinyHunters publicar os dados, qualquer pessoa na internet terá acesso às informações

Resposta oficial da Instructure

Inicialmente, a Instructure foi criticada pela falta de transparência. No entanto, em 11 de maio de 2026, a empresa fez um comunicado importante em sua página de status de incidentes:

Acordo com criminosos: “Alcançamos um acordo com os atores de ameaça por um valor não divulgado”

Destruição de dados: “Os dados comprometidos foram destruídos”

Serviço restaurado: “Canvas está totalmente online e seguro para uso”

Apologia: Instructure se desculpou pela falta de transparência durante o incidente

A empresa também implementou medidas de segurança: revogação de credenciais comprometidas, atualização de sistemas, rotação de chaves de acesso e reforço de monitoramento. Temporariamente, desativou as contas “Free-For-Teacher” que foram o ponto de entrada.

Atualização de Hoje (13 de maio): Webinar e Detalhes Técnicos

HOJE, 13 de maio de 2026, Instructure anunciou a realização de webinar com sua liderança em múltiplos fusos horários para detalhar o ataque e as ações para “endurecimento” dos sistemas.

Confirmações adicionais:

CrowdStrike contratada: Instructure está trabalhando com a firma forensics de “classe mundial” CrowdStrike para análise detalhada do incidente

E-discovery em andamento: Vendor adicional contratado para revisão abrangente dos dados envolvidos (processo esperado para levar semanas)

Desculpas oficiais: CEO Steve Daly afirmou: “Você merecia comunicação mais consistente de nós, e não entregamos. Me desculpo por isso”

Vulnerabilidade técnica identificada: Falha específica em “support tickets” (tíquetes de suporte) no ambiente Free-For-Teacher foi explorada

FBI ativado: O FBI mobilizou recursos em múltiplos estados para assistir vítimas do ataque

Questionamentos sobre credibilidade: Especialistas alertam que “shred logs” (registros de destruição de dados) fornecidos pelos hackers não são prova forense conclusiva. Um pesquisador de segurança observou que um atacante poderia produzir esses logs em aproximadamente 10 minutos, sem garantia de que os dados foram realmente destruídos.

Padrão de ataque: ShinyHunters visa setor educacional

Este não é um incidente isolado. Pesquisadores identificam padrão claro de ShinyHunters atacando plataformas educacionais:

• Primavera de 2026: Ataque a Infinite Campus (sistema de informação estudantil K-12). Infinite Campus recusou pagamento de resgate

• Primavera de 2026: Ataque à editora McGraw Hill (fornecedor de materiais educacionais)

• Setembro de 2025: Primeiro ataque a Instructure via ambiente Salesforce, roubando 1,5 bilhão de registros de aproximadamente 760 organizações

• Maio de 2026 (atual): Segundo ataque a Instructure com foco em Canvas

Estratégia emergente: Pesquisadores apontam uma mudança tática do ShinyHunters. Ao invés de atacar apenas empresas, o grupo passa a focar em “integradores de terceiros” – fornecedores que ficam no meio de centenas de instituições. Uma invasão no fornecedor resulta em acesso a todos os seus clientes, multiplicando o alcance. Como descreveu um pesquisador: “Por que assaltar cem agências quando o carro blindado as visita todas?”

Instituições da América Latina na lista do Canvas LMS

O grupo criminoso ShinyHunters, responsável pelo maior vazamento de dados educacionais da história, divulgou uma lista com 8.809 instituições de ensino ao redor do mundo que seriam clientes da plataforma de gerenciamento de aprendizagem Canvas LMS, desenvolvida pela empresa americana Instructure. Entre elas, figuram diversas instituições da América Latina.

No Brasil, as seguintes instituições constam na lista divulgada pelo grupo como possíveis clientes da plataforma Canvas: ESPM (Escola Superior de Propaganda e Marketing), Estácio de Sá, UNIP (Universidade Paulista), Faculdade Cásper Líbero, EBAC (Escola Britânica de Artes Criativas), Escola Sagrada Família, Faculdade Católica Paulista, Faculdade de Ciências Médicas de Minas Gerais e Faculdade de Direito de Vitória.

No México, aparecem na lista a Universidad Autónoma de Guadalajara, a Universidad de Monterrey, a Universidad Tecnológica Metropolitana, a Universidad Anáhuac, o Instituto Tecnológico Autónomo de México (ITAM) e o Instituto Tecnológico de Tijuana.

No Chile, constam a Pontificia Universidad Católica de Chile, a Universidad Andrés Bello, a Universidad del Desarrollo, a Universidad Autónoma, a Universidad Tecnológica Metropolitana, a Facultad de Economía y Negocios da Universidad de Chile, além de diversos institutos profissionais.

No Peru, instituições de ensino superior do país também foram afetadas, enfrentando dificuldades na gestão de avaliações e na proteção de dados de alunos e docentes.

Para Colômbia e Argentina, não foram publicadas listas verificadas por instituição até o momento.

Nota do Crypto ID
As informações apresentadas nesta publicação têm caráter exclusivamente informativo e foram obtidas a partir de fontes disponíveis publicamente, sem contato direto com as instituições brasileiras e latino-americanas mencionadas. Os dados relativos às instituições listadas foram extraídos do arquivo divulgado pelo próprio grupo ShinyHunters e não foram confirmados pela Canvas e nem pelas instituições citadas. O Crypto ID não confirma, atesta nem afirma qualquer comprometimento, falha ou responsabilidade por parte das instituições listadas. Esta publicação não constitui acusação, denúncia ou declaração de qualquer natureza contra as referidas instituições.

Recomendações para usuários e instituições

Usuários da plataforma Canvas devem:

1. Trocar a senha da conta Canvas imediatamente
2. Ativar autenticação em dois fatores (2FA) se disponível
3. Revisar sessões ativas na conta e desconectar de sessões desconhecidas
4. Verificar integrações OAuth conectadas ao perfil e remover as não reconhecidas
5. Desconfiar de emails que mencionam o incidente ou pedem para clicar em links
6. Acessar Canvas sempre diretamente pelo navegador, nunca por links em emails

Instituições de ensino devem:

1. Fazer auditoria de segurança em seus ambientes Canvas
2. Comunicar claramente com alunos e professores sobre o incidente e medidas de proteção
3. Implementar monitoramento contra tentativas de phishing direcionadas
4. Buscar orientação de especialistas em cibersegurança se estiverem entre as afetadas

Considerações finais

O ataque ao Canvas representa um marco preocupante na história dos incidentes de cibersegurança educacional. Pela primeira vez, uma plataforma educacional global de tal magnitude foi invadida simultaneamente em múltiplos continentes, afetando milhões de estudantes durante um período crítico de avaliações acadêmicas.

Para o Brasil especificamente, o incidente serve como alerta sobre a importância de investimento em segurança cibernética no setor educacional. Instituições como ESPM, Estácio, UNIP e Cásper Líbero, que utilizam Canvas para atividades acadêmicas essenciais, precisam reforçar suas defesas e comunicar-se adequadamente com alunos e funcionários.

O fato de a Instructure ter alcançado um acordo com ShinyHunters sinaliza que o pagamento de ransomware continua sendo um caminho tomado por empresas quando confrontadas com ameaças de vazamento em massa de dados. Especialistas debatem a eficácia dessa estratégia, alertando que pagamentos podem incentivar futuros ataques.

Enquanto isso, usuários em todo o mundo devem permanecer vigilantes contra tentativas de exploração e abusos de dados pessoais. O risco, como advertiu o ex-agente do FBI Kolko, não é apenas imediato, mas também poderá se manifestar nos anos seguintes.

Sobre o Canvas

Canvas é um sistema de gerenciamento de aprendizagem (LMS – Learning Management System) desenvolvido pela empresa americana Instructure, sediada em Utah. A plataforma é utilizada por instituições de ensino em todo o mundo para gerenciar atividades acadêmicas essenciais.

Funcionalidades principais:

1. Publicação de materiais didáticos e conteúdos de cursos
2. Envio e gerenciamento de tarefas e trabalhos estudantis
3. Aplicação de quizzes e provas online
4. Registro e publicação de notas e avaliações
5. Comunicação entre professores e alunos através de mensagens
6. Organização de turmas e cursos em ambiente virtual
7. Integração com outras ferramentas educacionais

Alcance global:

• Mais de 30 milhões de usuários ativos em todo o mundo
• Mais de 8.000 instituições educacionais como clientes
• Utilizado por 41% das instituições de educação superior na América do Norte
• Presente em universidades, escolas públicas, escolas privadas e empresas para treinamentos internos

Canvas se tornou uma das plataformas educacionais mais importantes e confiáveis globalmente, sendo usada desde educação básica (K-12) até universidades de elite e corporações multinacionais.