Ciberataque a plataforma educativa compromete dados de 200 Milhões de estudantes em 9.000 instituições

Díli, 8 de maio de 2026 (RAFA.TL) – Um ciberataque à empresa norte-americana Instructure, responsável pela plataforma de gestão educativa Canvas, comprometeu dados pessoais de mais de 200 milhões de estudantes e funcionários em mais de 9.000 instituições de ensino em todo o mundo.

O ataque, reivindicado pelo grupo criminoso ShinyHunters, está a afetar universidades, escolas secundárias e institutos de formação profissional em múltiplos continentes.

A situação começou a 30 de abril de 2026, quando a Instructure detetou um ciberataque ao seu ambiente alojado na nuvem.

A empresa divulgou o incidente publicamente a 1 de maio, confirmando que os criminosos tinham explorado uma vulnerabilidade nos seus sistemas e forçado partes do serviço – incluindo o Canvas Data 2 e o Canvas Beta – a serem desativadas.

Chaves de acesso API foram comprometidas, perturbando integrações de terceiros que dependem dessas chaves.

As investigações revelaram que os dados comprometidos incluíam “certas informações de identificação de utilizadores”, entre as quais nomes, endereços de correio eletrónico e números de identificação de estudantes, bem como mensagens trocadas entre utilizadores nas implementações Canvas das suas instituições.

A empresa afirmou não ter “encontrado evidências” de senhas, datas de nascimento, identificadores governamentais ou informações financeiras comprometidas.

A 3 de maio, o grupo ShinyHunters listou a Instructure no seu sítio de fuga de dados na dark web com uma exigência de “pagar ou divulgar”.

O grupo ameaçou divulgar publicamente o que afirma serem vários milhares de milhões de mensagens privadas e 3,65 terabytes de dados, tendo fixado como prazo o dia 6 de maio.

Até ao momento da publicação, os dados não foram divulgados publicamente e a Instructure afirma que a investigação prossegue.

O padrão é claro: os atacantes já não vão escola por escola – estão a atacar os fornecedores que servem milhares de escolas em simultâneo.

O antecessor do Canvas nas manchetes foi o PowerSchool, que sofreu uma violação em 2024 afetando cerca de 62 milhões de estudantes em todo o mundo.

Universidades e institutos politécnicos australianos apressaram-se a avaliar a sua exposição.

A Universidade de Tecnologia de Sydney afirmou que o seu Canvas está “atualmente a funcionar normalmente”.

O TasTAFE (Tasmânia) confirmou que dados de estudantes foram comprometidos. A RMIT University, a Universidade de Newcastle, a Universidade de Adelaide e a Flinders University também notificaram os seus estudantes.

O governo do Queensland confirmou que o incidente “afetou milhares de instituições de ensino, incluindo escolas estatais e universidades no Queensland, em toda a Austrália e no estrangeiro”.

O ministro da Educação John-Paul Langbroek sublinhou que “nomes, endereços de correio eletrónico e localizações de escolas foram comprometidos” e que o Departamento de Educação está a prestar “apoio prioritário a famílias e professores com historial de violência doméstica ou ligação à Proteção de Menores”.

Na Nova Zelândia, a Universidade de Auckland alertou que os ataques de phishing subsequentes, aperfeiçoados com os dados roubados, são “a consequência mais provável” da violação e aconselhou os estudantes a desconfiarem de mensagens inesperadas que peçam informações pessoais.

O ataque insere-se numa tendência preocupante: as instituições de ensino registaram um aumento de 63% nos ciberataques entre novembro de 2024 e outubro de 2025, com as violações de dados a crescerem 73% e a atividade hacktivista a aumentar 75%, de acordo com dados compilados pela empresa Quorum Cyber em 67 países.

No primeiro trimestre de 2026, o setor da educação surgiu em 20% de todas as campanhas de ameaças persistentes avançadas observadas, uma subida acentuada face ao zero registado no trimestre anterior.

FIM