A popular plataforma de aprendizagem Canvas ficou inoperacional na quinta-feira (8) após ser alvo de um ataque informático de grande escala que está a colocar em risco as informações pessoais e académicas de milhões de utilizadores de todo o mundo. O hub educacional é utilizado por mais de milhões de utilizadores globalmente, tendo como clientes mais de 9.000 instituições de ensino, onde se incluem universidades em Portugal.
A plataforma, utilizada por estudantes para ver notas, materiais de aula, vídeos, avisos e muito mais, foi atacada pelo grupo de hackers ShinyHunters, que reivindicou a responsabilidade pelo incidente. O grupo afirma ter roubado os dados de cerca de 275 milhões de alunos, professores e funcionários de instituições de ensino que utilizam os sistemas do Canvas. No mês passado, o grupo também assumiu autoria pelo ataque hacker aos sistemas da Rockstar Games, revelando dados impressionantes sobre os jogos da empresa, incluindo GTA e Red Dead Redempion.
Numa carta enviada à Canvas, o grupo de cibercriminosos revelou uma lista de 8 809 universidades, escolas e plataformas de educação online afetadas pelo ataque cibernético. Os criminosos entraram em contacto com as instituições afetadas anunciando que têm um prazo até 12 de maio para negociar um acordo e evitar que as informações sejam expostas.
A 1 de maio, a Instructure, a empresa responsável pelo Canvas, comunicou que foi alvo de um incidente de segurança realizado por um agente malicioso. No dia seguinte, 2 de maio, a empresa disse que a situação estava sob controlo, mas revelou que informações pessoais de utilizadores, onde se incluem nomes, endereços de e-mail, números de identificação e mensagens, poderiam estar entre os dados obtidos.
Portugal foi afetado pelo ataque?
Conforme reportou o jornal Público, até ao momento não há informações oficiais de que o incidente com o Canvas tenha causado um impacto grave nas universidades portuguesas. Em comunicado, a Universidade Europeia e o IPAM, instituição de ensino superior focada em Administração e Marketing, afirmaram que os seus sistemas não foram impactados pelo ocorrido e que dados sensíveis, como palavras-passe e credenciais de acesso, não foram comprometidos. No entanto, as universidades observam que há dados potencialmente afetados:
"Segundo a informação disponibilizada até ao momento, os dados potencialmente afetados correspondem a informações de caráter identificativo e de contacto, tais como nomes, apelidos e endereços de correio eletrónico institucional, bem como números de identificação de estudante e determinadas comunicações entre utilizadores relacionadas com o desenvolvimento da atividade académica na sala de aula virtual (Canvas)." — Universidade Europeia e IPAM.
Já a Porto Business School, a escola de negócios da Universidade do Porto, disse em comunicado que a sua equipa de TI está em contacto direto com a empresa responsável pelo Canvas para entender a gravidade da situação:
"A PBS está a acompanhar a situação de perto e a tomar as medidas necessárias para proteger os seus sistemas e utilizadores."
Por outro lado, nos Estados Unidos, diversas universidades em todo o país tiveram de paralisar as suas atividades e adiar exames, onde se incluem Harvard, Columbia, Princeton e muitas mais.
Apesar da interrupção temporária da plataforma por prevenção, a Instructure informou na noite da última quinta-feira que o sistema já estava disponível para a maioria dos utilizadores.
O que fazer para manter os teus dados protegidos neste tipo de incidente?
Se és estudante, pai, mãe ou encarregado de educação de alguém que utiliza o Canvas, a empresa de segurança Malwarebytes fornece algumas recomendações importantes caso recebas uma notificação sobre violação de dados relacionada com a plataforma. Confere:
-
Confirma se a notificação é verdadeira. Antes de clicares em qualquer link, verifica a informação diretamente no site oficial da escola, do agrupamento escolar ou da Instructure/Canvas.
-
Entende que dados foram expostos. Pode ser apenas o nome e o e-mail, mas também podem estar envolvidos dados escolares, matrículas ou informações sobre cursos.
-
Altera a palavra-passe da conta escolar. Se tu ou o teu filho usam o Canvas ou outra plataforma de aprendizagem com login próprio, a palavra-passe deve ser trocada o quanto antes.
-
Evita repetir palavras-passe. Se a mesma palavra-passe for usada no e-mail, jogos ou outros serviços, também deve ser alterada nesses locais.
-
Ativa a autenticação de dois fatores. Sempre que possível, utiliza códigos por SMS, e-mail ou aplicações de autenticação para dificultar acessos indevidos.
-
Avalia medidas extra caso haja dados sensíveis envolvidos. Se documentos ou informações de identificação tiverem sido expostos, vale a pena perguntar à escola se haverá proteção de identidade ou monitorização adicional.
-
Fica atento a burlas posteriores. Os criminosos podem usar nomes de escolas, professores ou disciplinas para criar e-mails e mensagens falsas mais convincentes.
-
Nunca partilhes códigos de segurança. Mesmo que alguém diga ser da escola ou do suporte técnico, estes códigos funcionam como palavras-passe temporárias e não devem ser enviados a ninguém.
-
Não abras anexos ou links suspeitos. O mais seguro é entrares diretamente no site ou na aplicação oficial da escola e verificar as mensagens por lá.
