Instructure hacker claims data theft from 8,800 schools, universities

Fuite de données massive chez Instructure : 280 millions d’enregistrements exposés

Le géant de la technologie éducative Instructure, éditeur de la plateforme Canvas, a été victime d’une cyberattaque majeure revendiquée par le groupe d’extorsion ShinyHunters. L’incident concerne potentiellement 280 millions d’enregistrements liés à des étudiants et des membres du personnel issus de 8 809 établissements d’enseignement à travers le monde.

Points clés

• Nature de l’incident : Accès non autorisé aux bases de données de la plateforme Canvas.
• Données compromises : Noms, adresses e-mail, messages privés et données d’inscription.
• Étendue : Plus de 8 800 institutions (universités, districts scolaires, plateformes en ligne) sont potentiellement affectées, avec des volumes de données variant de quelques milliers à plusieurs millions d’enregistrements par entité.
• Mode opératoire : Selon les assaillants, l’exfiltration a été réalisée en abusant des fonctionnalités natives d’exportation de données de Canvas, notamment les requêtes DAP (Data Access Platform), les rapports de provisionnement et les API utilisateurs.

Vulnérabilités

• Aucune CVE spécifique n’a été attribuée, car il s’agit d’une exploitation détournée de fonctionnalités légitimes de la plateforme (abus d’API et d’outils d’exportation).

Recommandations

• Pour les institutions : Surveiller les communications officielles d’Instructure et des services informatiques locaux. Renforcer la surveillance des logs d’accès aux API et limiter les privilèges d’exportation de données aux seuls utilisateurs autorisés.
• Pour les utilisateurs : Rester vigilant face aux tentatives de hameçonnage (phishing) utilisant les données compromises, mettre à jour les mots de passe et activer l’authentification multifacteur (MFA) sur tous les comptes liés à l’environnement scolaire ou universitaire.

Source