Le géant des technologies éducatives Instructure a confirmé une violation de données affectant les informations privées des étudiants. Le gang de piratage et d’extorsion ShinyHunters a revendiqué la responsabilité de la violation.
Les pirates prétendent avoir volé les noms des étudiants, leurs adresses e-mail personnelles et les messages envoyés entre enseignants et étudiants – le même type de données qu’Instructure a admis avoir été volé.
Instructure est le dernier géant d’entreprise piraté par le gang ShinyHunters. Les cybercriminels ont ciblé les universités et les sociétés de bases de données cloud ces derniers mois, dans le but de voler de grandes quantités d’informations personnelles et menacent de publier les données en ligne si les entreprises ne paient pas la rançon des pirates.
Un membre de ShinyHunters a partagé un échantillon des données volées avec TechCrunch, qui comprenait des données provenant de deux écoles aux États-Unis, une dans le Massachusetts et une dans le Tennessee. Dans le cas de celui du Massachusetts, les données comprenaient des messages contenant des noms, des adresses e-mail et certains numéros de téléphone. Quant à l’école du Tennessee, l’échantillon comprenait les noms complets et les adresses e-mail des élèves.
L’échantillon ne contenait pas de mots de passe ni d’autres types de données qui, selon Instructure, n’étaient pas affectées par la violation.
TechCrunch ne nomme pas les écoles car elles ne sont pas des victimes confirmées. D’après les informations qui apparaissent sur leurs sites Web, les deux écoles semblent utiliser la plateforme Canvas d’Instructure, qui permet aux clients de gérer les cours, les devoirs et de communiquer avec les étudiants.
ShinyHunters a également partagé une liste d’environ 8 800 écoles qui seraient touchées par la violation. TechCrunch n’a pas pu confirmer si toutes les institutions répertoriées ont été concernées, ni si elles sont des clients d’Instructure. Sur son site officiel, Instructure affirme compter plus de 8 000 institutions parmi ses clients.
Lorsqu’elle a été contactée par TechCrunch, la porte-parole d’Instructure, Kate Holmes, n’a pas répondu à plusieurs questions sur l’incident et a plutôt fait référence à la page officielle de l’entreprise où elle publie des mises à jour sur la violation.
Sur son site de fuite de données, sur lequel ShinyHunters revendique la responsabilité des violations de données et des tentatives de pression sur les victimes pour qu’elles paient une rançon, les pirates affirment que la violation a touché près de 9 000 écoles dans le monde et les données de 275 millions de personnes, dont des étudiants, des enseignants et d’autres membres du personnel. Lors d’un chat en ligne, le membre de ShinyHunters a déclaré à TechCrunch que le nombre total d’e-mails uniques inclus dans les données volées s’élève à 231 millions.
Les groupes de hackers motivés par l’argent sont connus pour exagérer leurs affirmations afin d’attirer l’attention des médias ainsi que de leurs victimes.
Mardi, Instructure a déclaré que certains de ses produits, tels que Canvas, avaient été restaurés pour les clients après avoir subi une maintenance.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.

