Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
ShinyHunters in data 03/05/2026 ha rivendicato presso i propri canali il furto di grandi volumi di dati avviando anche una campagna di estorsione. Le dimensioni rivendicate:
Recentemente Instructure ha pubblicato sul proprio Blog un post relativo un incidente di sicurezza che ha interessato Canvas LMS. Canvas LMS, è la piattaforma usata da scuole, università e altri enti formativi per organizzare corsi, materiali didattici, compiti, voti e comunicazioni tra docenti e studenti. E’ uno tra gli strumenti che vengono utilizzati da molte istituzioni per la didattica online o mista in modo centralizzato e ordinato.
Non si tratta solo quindi di un software “di passaggio”, contiene dati accademici e anche delle comunicazioni tra gli utenti, quindi un incidente su questa piattaforma può avere conseguenze ampie sia per studenti, che per insegnanti e amministratori.
Qualora questo incidente sia confermato, risulterebbe rilevante per il settore education. Questa sequenza di eventi, mostra un interesse da parte del cybercrime verso l’ecosistema Instructure-Salesforce. Infatti, il 21 settembre 2025, Instructure aveva comunicato ufficialmente un precedente incidente di sicurezza legato a un attacco di social engineering, aveva coinvolto la propria istanza Salesforce, precisando che nessun prodotto Instructure né dati di prodotto erano stati accessi e che i dati coinvolti erano per lo più informazioni aziendali pubblicamente disponibili.
Anche se sono due episodi distinti potrebbe potenzialmente essere collegati sul piano dell’interesse degli attaccanti verso le superfici SaaS di Instructure:
Questo non significa che i due episodi abbiano avuto la stessa causa tecnica. Ma è possibile che Instructure sia stata osservata e presa di mira, soprattutto attraverso punti sensibili dell’ecosistema SaaS: quelli in cui CRM, piattaforme didattiche e varie integrazioni applicative si intrecciano.
“Comunicazione operativa inviata dal CSO di Instructure, Steve Proud, agli amministratori di sistema in data 1° maggio 2026, circolata nei forum tecnici (Reddit) per il coordinamento della risposta all’incidente.”.
Forse la risposta iniziale potrebbe essere proprio lo scambio apparso su r/k12sysadmin, il subreddit frequentato presumibilmente da amministratori di sistema scolastici. La comunicazione attribuita a Steve Proud, CSO di Instructure è datata 01/05/2026 e . Va qualificato e preso in considerazione con prudenza in quanto non è una pagina pubblica ufficiale di Instructure, ma uno screenshot di una comunicazione operativa che circola nella community tecnica su Reddit; per questo è più corretto usarlo come evidenza di contesto e di coordinamento operativo, non può essere considerato come unica prova primaria dell’incidente.
Questi elementi fanno capire che la risposta di Instructure ha coinvolto anche aspetti legati agli accessi applicativi e alle integrazioni. Ma da soli non chiariscono quale sia stato il punto di ingresso iniziale dell’attacco, né dimostrano in modo certo che gli attaccanti abbiano sfruttato proprio token o chiavi API specifiche.
Un secondo elemento relativamente solido riguarda le categorie di dati che Instructure e varie fonti riportano come coinvolte, cioè nomi, indirizzi email, numeri identificativi degli studenti e messaggi tra utenti. Se la presenza di messaggi tra utenti sarà confermata integralmente dall’analisi forense finale, il rischio di spear-phishing contestuale contro studenti, docenti e personale diventa elevato, perché un attaccante potrebbe sfruttare riferimenti reali a corsi, relazioni e comunicazioni recenti per rendere i contatti fraudolenti più credibili.
L’FBI nel 2025 ha descritte le campagne UNC6040 e UNC6395 come due modelli ricorrenti: abuso della fiducia nelle applicazioni SaaS e sfruttamento di accessi indiretti tramite social engineering o token OAuth compromessi. Il comunicato ufficiale di Instructure del 21 settembre 2025 va nella stessa direzione: racconta che l’azienda era già stata colpita da un attacco di social engineering legato a Salesforce, proprio in linea con i modelli di attacco che l’FBI e altri ricercatori stavano osservando in quel periodo.
Nel caso Canvas 2026, il riferimento nel banner a “Your Salesforce instance was also breached” non prova da solo una compromissione tecnica generalizzata di tutte le integrazioni Canvas-Salesforce, ma suggerisce che gli attaccanti intendono rappresentare i dati Canvas e i dati CRM collegati come parte dello stesso perimetro di danno. La correlazione più solida è quindi di tipo operativo e strategico: nel 2025 si sono osservati attori che monetizzavano accessi a Salesforce tramite app connesse, vishing e token; nel 2026 si osserva uno schema coerente di pressione estorsiva su una piattaforma educativa SaaS con possibile sfruttamento delle sue integrazioni.
La pubblicazione o la minaccia di pubblicazione di elenchi di scuole colpite è una forma di pressione volta a frammentare la risposta e a spingere i singoli enti ad agire separatamente, anziché attendere una gestione centralizzata da parte del fornitore.
Sul piano operativo, le priorità sono almeno quattro:
Per gli enti europei, la GDPR resta centrale: la combinazione di dati identificativi e comunicazioni personali può comportare un rischio elevato per i diritti e le libertà degli interessati.
Non si tratta solo di una rivendicazione isolata.
Il presunto attacco hacker coinvolge Instructure e la piattaforma Canvas LMS e si inserisce in un contesto più ampio: una serie di attacchi mirati contro infrastrutture cloud e ambienti Salesforce già segnalati anche da autorità federali. I dati potenzialmente coinvolti includono informazioni personali e comunicazioni tra utenti. Al momento, non risultano evidenze di compromissione di password o dati finanziari.
Resta però aperta la questione principale: quanto è estesa la violazione.
Secondo un alert dell’FBI, negli ultimi mesi più gruppi di attaccanti hanno preso di mira istanze Salesforce per rubare dati e avviare campagne di estorsione. Le tecniche utilizzate includono:
Questo elemento cambia la lettura del caso. Se l’accesso a Instructure fosse avvenuto attraverso sistemi collegati come suggerito nel messaggio degli attaccanti il breach non sarebbe un incidente isolato, ma parte di una strategia più ampia. Negli ultimi mesi, campagne simili hanno colpito altre organizzazioni sfruttando configurazioni errate, integrazioni di terze parti e identità digitali compromesse.
Nel caso di Canvas LMS, il valore non è solo nei numeri. Le comunicazioni interne tra studenti, docenti e amministrazione rappresentano dati ad alto contenuto informativo. Anche un dataset limitato, se ben strutturato, può essere utilizzato per estorsione mirata, phishing avanzato e attacchi di social engineering.
Cosa resta da chiarire Ad oggi, il caso resta aperto su più fronti come la quantità reale di dati sottratti, il possibile coinvolgimento di sistemi esterni e il legame diretto con la campagna Salesforce. Sono tutti elementi che devono essere ancora verificati.
