Canvas offline: il cyberattacco che ha bloccato milioni di studenti durante gli esami

Giovedì 7 maggio, studenti e insegnanti di migliaia di scuole e università americane si sono trovati di fronte a una pagina di login inaspettata: al posto della piattaforma Canvas, un messaggio nero con scritte bianche chiedeva il pagamento di un riscatto. Era il culmine di un attacco di estorsione dati che Krebs on Security ha documentato in dettaglio, mettendo in luce come l'infrastruttura digitale dell'istruzione americana sia diventata un bersaglio prioritario per i criminali informatici.

Canvas è la piattaforma di gestione dell'apprendimento usata da quasi 9.000 istituti scolastici in tutto il mondo per archiviare compiti, voti, materiali didattici e comunicazioni tra studenti e insegnanti. Il tempismo dell'attacco non è casuale: è avvenuto a pochi giorni dalle sessioni di esami finali, quando gli studenti dipendono completamente dall'accesso ai materiali di studio caricati sulla piattaforma.

Chi

Instructure, la società quotata al Nasdaq (NYSE:INST) che gestisce Canvas, ha subìto l'attacco da parte di ShinyHunters, un gruppo di criminali informatici descritto dagli analisti di sicurezza come una "rete informale di adolescenti e giovani adulti" con base negli Stati Uniti e nel Regno Unito. ShinyHunters ha già rivendicato altri attacchi di alto profilo, tra cui le violazioni di Ticketmaster e AT&T.

Cosa è successo

La cronologia dell'incidente si articola in più fasi. Instructure ha riconosciuto una violazione dei dati all'inizio della settimana del 5 maggio, dopo che ShinyHunters aveva pubblicamente annunciato il furto e minacciato di divulgare i dati entro il 6 maggio. La scadenza è stata poi posticipata al 12 maggio, un dettaglio che gli analisti di sicurezza interpretano come indicatore di possibili negoziazioni in corso sul riscatto.

Secondo la dichiarazione ufficiale di Instructure del 6 maggio, i dati rubati includono "nomi, indirizzi email, numeri di identificazione studenteschi e messaggi tra utenti". L'azienda ha specificato che non sono stati compromessi password, date di nascita, identificativi governativi o informazioni finanziarie. Tuttavia, il volume dei dati è enorme: ShinyHunters sostiene di aver accesso ai record di 275 milioni di studenti e docenti distribuiti in circa 9.000 istituti scolastici negli Stati Uniti, Australia ed Europa.

Il 6 maggio, Instructure aveva dichiarato che Canvas era "completamente operativo" e che non rilevava attività non autorizzate in corso. Ma il giorno successivo, a metà giornata del 7 maggio, la situazione è degenerata. Studenti e docenti di dozzine di atenei hanno iniziato a segnalare sui social media che la pagina di login era stata sostituita con il messaggio di riscatto dei criminali. La minaccia era esplicita: "Se una delle scuole nella lista interessata vuole evitare la divulgazione dei propri dati, contatti una società di consulenza sulla cybersicurezza e ci contatti privatamente per negoziare un accordo. Avete fino alle 12 maggio 2026 prima che tutto sia reso pubblico."

Instructure ha risposto disabilitando Canvas e mettendo la piattaforma in "modalità di manutenzione programmata", una mossa che ha prolungato il disagio per milioni di utenti ma ha impedito ai criminali di continuare a mostrare il loro messaggio di riscatto.

Perché è importante

Questo attacco rivela tre vulnerabilità critiche nel sistema educativo americano.

Primo: la dipendenza da piattaforme cloud centralizzate. Canvas non è un servizio opzionale per le scuole moderne—è il sistema nervoso centrale dove risiedono compiti, voti, materiali didattici e comunicazioni. Quando va offline, l'intera operazione educativa si ferma. A differenza di una banca o di un'azienda che può attivare piani di continuità, una scuola non ha alternative immediate.

Secondo: il timing strategico degli attacchi. Come ha sottolineato Luke Connolly, analista di minacce presso Emisoft, questo attacco è "sorprendentemente simile" alla violazione di PowerSchool, un'altra piattaforma di gestione dell'apprendimento. I criminali colpiscono deliberatamente nei periodi di massima pressione (esami finali), quando le istituzioni sono più disposte a pagare per ripristinare il servizio rapidamente.

Terzo: il valore dei dati educativi. I record di studenti e insegnanti—nomi, email, ID—sono preziosi per frodi di identità, phishing mirato e altre forme di criminalità. Sebbene Instructure abbia negato il furto di password, l'accesso ai messaggi privati tra studenti e insegnanti rappresenta comunque una violazione seria della privacy.

Questo attacco si inserisce in un contesto più ampio: negli ultimi anni, scuole pubbliche di grandi città come Minneapolis e Los Angeles sono state vittime di attacchi ransomware. L'istruzione, ricca di dati digitalizzati ma spesso con budget di cybersicurezza limitati, è diventata un bersaglio preferito dai criminali informatici.

Cosa aspettarsi

Nei prossimi giorni, gli indicatori da monitorare sono:

Timeline tecnica: Instructure ha promesso aggiornamenti "il prima possibile" sul ripristino di Canvas. La scadenza di negoziazione fissata da ShinyHunters al 12 maggio è un punto di osservazione critico—se la piattaforma rimane offline oltre quella data, potrebbe indicare che le negoziazioni sono fallite o che l'azienda ha scelto di non pagare.

Reazioni normative: È probabile che le autorità federali (FBI, CISA) e i procuratori generali degli stati emettano comunicati. La California, dove università come UC Berkeley, USC e Stanford sono state colpite, potrebbe avviare indagini formali.

Mosse dei competitor: Microsoft (che offre la suite educativa Microsoft Teams e OneNote), Google Classroom e altre piattaforme concorrenti potrebbero enfatizzare i loro standard di sicurezza nei materiali di marketing.

Azioni di ShinyHunters: Se Instructure non paga entro il 12 maggio, il gruppo ha minacciato di divulgare pubblicamente i dati. Una fuga di questo volume potrebbe alimentare ulteriori attacchi di phishing e frodi ai danni di studenti e insegnanti per anni.

Impatto sui servizi educativi: Anche dopo il ripristino tecnico, molte istituzioni potrebbero implementare misure di sicurezza aggiuntive (autenticazione a due fattori, backup locali di materiali critici), aumentando i costi operativi.

L'incidente sottolinea che la sicurezza informatica non è più un'opzione per le istituzioni educative, ma una necessità operativa fondamentale.