A empresa responsável pelo sistema de ensino online Canvas, a Instructure, afirmou ter fechado um acordo com os hackers envolvidos em um ataque cibernético que provocou uma grande crise em instituições de ensino nos Estados Unidos. O incidente ocorreu em um momento especialmente sensível para estudantes e professores, muitos deles no período de provas finais, quando o sistema é amplamente utilizado para entrega de trabalhos, acesso a notas e realização de avaliações. Segundo a companhia, o objetivo do acordo foi garantir a exclusão dos dados roubados, embora os termos exatos da negociação não tenham sido divulgados.

De acordo com a Instructure, o grupo responsável pela invasão teria retornado as informações capturadas e fornecido uma espécie de “confirmação digital” de que os arquivos foram apagados, conhecidos como “logs de destruição”. Mesmo assim, a própria empresa reconhece que não há como garantir com absoluta certeza que todas as cópias foram realmente eliminadas, o que mantém um nível de incerteza sobre a segurança das informações. A decisão de negociar teria sido motivada pelo risco de que os dados fossem publicados ou vendidos, o que poderia ampliar ainda mais o impacto da violação.

O ataque foi reivindicado pelo grupo cibercriminoso ShinyHunters, que afirmou ter obtido acesso a dados de milhares de escolas e centenas de milhões de usuários ao redor dos Estados Unidos. As informações comprometidas incluiriam nomes, e-mails, números de identificação estudantil e mensagens internas da plataforma, embora a empresa diga não haver evidências de vazamento de senhas ou dados financeiros. Durante a investigação, o Canvas chegou a ser colocado temporariamente fora do ar, causando bloqueio de acesso para estudantes e professores e gerando forte impacto no funcionamento de escolas e universidades que dependem do sistema para praticamente toda a rotina acadêmica.