L'entreprise mère de la plateforme éducative Canvas, Instructure, a déclaré avoir conclu un accord avec les pirates concernant la récente fuite de données. L'entreprise affirme que les auteurs ont fourni des preuves de la suppression des données volées, et que les clients de Canvas ne seront plus tenus de négocier individuellement avec les pirates ou de payer une rançon.
Les pirates affirment avoir volé les données de 275 millions de personnes
Selon TechCrunch, le groupe de cybercriminalité nommé ShinyHunters a revendiqué l'intrusion du 29 avril et affirme avoir volé des données d'étudiants et de personnel enseignant provenant de systèmes liés à Canvas, concernant environ 275 millions de personnes. Canvas est utilisé par près de 9 000 écoles pour gérer les dossiers étudiants et les cours.
Le groupe a lancé une deuxième attaque la semaine dernière, en modifiant les pages de connexion Canvas sur certains sites web d'écoles afin de faire pression sur l'entreprise pour qu'elle paie une rançon.
L'entreprise n'a pas révélé si une rançon a été payée.
Instructure a indiqué sur sa page d'incident mise à jour lundi soir que, bien qu'il n'existe jamais une certitude absolue lors de négociations avec des criminels informatiques, l'entreprise estime que les clients n'ont plus besoin de communiquer avec les pirates. L'entreprise n'a pas révélé les termes financiers de l'accord ni précisé si une rançon a effectivement été payée.
TechCrunch rapporte que ShinyHunters avait précédemment menacé sur son site de fuites de publier les données volées si l'entreprise ne payait pas. Jusqu'à mardi, cet article a été supprimé. Le groupe a également déclaré aux médias que les données « avaient été supprimées » et qu'ils n'entreraient plus en contact avec l'entreprise ni ses clients concernant le paiement.
Des cas similaires ont déjà été sujets à une deuxième extorsion
Les rapports indiquent que cet incident chez Instructure présente des similitudes avec la grande violation de données subie par PowerSchool en 2024, qui avait également payé les pirates pour obtenir la restitution de ses données, mais dont certains clients ont ensuite été extorqués par un autre groupe criminel, démontrant que les données déclarées « supprimées » ne disparaissent pas toujours réellement.
Le FBI américain a également déclaré la semaine dernière avoir pris connaissance des interruptions de systèmes affectant des écoles et des établissements éducatifs à travers les États-Unis, et a averti les victimes de ne pas payer les cybercriminels ni de répondre à leurs exigences de rançon.
Instructure continue d'enquêter sur cet incident et de vérifier les découvertes associées. L'entreprise reconnaît également que ses systèmes ont été piratés deux fois en moins d'un an, mais affirme que les deux incidents sont indépendants et concernent des systèmes différents.