Instructure, la società che gestisce la piattaforma educativa Canvas, ha raggiunto un accordo riservato con il gruppo di hacker responsabile della violazione che, nelle scorse settimane, aveva esposto informazioni sensibili appartenenti a scuole, università e milioni di utenti. La trattativa, confermata da fonti interne e da documenti circolati negli ambienti della cybersecurity, segna un passaggio delicato per un’azienda che negli ultimi anni è diventata un’infrastruttura centrale per l’istruzione digitale negli Stati Uniti e non solo.
Secondo le prime ricostruzioni, gli aggressori erano riusciti a sfruttare una vulnerabilità in un modulo di autenticazione esterno, ottenendo accesso a database contenenti indirizzi email, metadati dei corsi e informazioni amministrative. Non risultano compromessi i contenuti didattici né le password, ma l’incidente ha comunque sollevato timori sulla sicurezza delle piattaforme educative. L’accordo, di cui non sono stati resi noti i dettagli economici, avrebbe previsto la restituzione dei dati sottratti e la distruzione delle copie in possesso degli hacker. Instructure ha dichiarato di aver agito “nell’interesse della continuità dei servizi e della protezione degli utenti”, pur ribadendo di non aver mai interrotto la collaborazione con le autorità federali. Gli investigatori stanno ancora lavorando per identificare con certezza il gruppo responsabile, che avrebbe legami con reti criminali attive nell’Europa orientale.
La vicenda ha riacceso il dibattito sulla fragilità delle infrastrutture digitali dell’istruzione, già colpite da numerosi attacchi negli ultimi anni. Esperti di sicurezza sottolineano che piattaforme come Canvas, utilizzate quotidianamente da milioni di studenti, rappresentano un bersaglio ideale per gruppi criminali alla ricerca di dati facilmente monetizzabili. Instructure ha annunciato un piano di rafforzamento dei sistemi di protezione, con audit indipendenti e nuove misure di monitoraggio.
