Instructure (Canvas) victime d'une seconde violation de données par ShinyHunters en moins d'un an

🏫 Contexte

Source : DataBreaches.net, publié le 3 mai 2026. Instructure, éditeur de la plateforme éducative Canvas (LMS), Mastery et Parchment, révèle avoir subi une deuxième violation de données en moins d’un an, les deux incidents étant attribués au groupe cybercriminel ShinyHunters.

📅 Chronologie des incidents

Premier incident (septembre 2025) :

• Attaque par ingénierie sociale ciblant l’instance Salesforce d’Instructure
• Données exposées : informations commerciales publiques (noms d’entreprises, coordonnées)
• Aucun produit ni donnée produit d’Instructure compromis selon la société

Second incident (avril-mai 2026) :

• 30 avril 2026 : perturbations signalées sur les outils dépendant des clés API
• 1er mai : Canvas Data 2 et Canvas Beta & Test placés en maintenance
• 2 mai : confirmation que les données impliquées incluent noms, adresses e-mail, numéros d’identifiant étudiant et messages privés entre utilisateurs
• 3 mai : publication d’une annonce sur le site de fuite darkweb de ShinyHunters

💀 Revendication de ShinyHunters

Le groupe publie une annonce menaçante avec les éléments suivants :

• ~9 000 établissements scolaires dans le monde affectés
• 275 millions d’individus (étudiants, enseignants, personnel)
• Plusieurs milliards de messages privés contenant des PII
• Instance Salesforce également compromise
• Volume revendiqué : 3,65 To+ de données non compressées
• Ultimatum fixé au 6 mai 2026 avec menace de fuite publique

Des preuves fournies à DataBreaches.net mentionnent plus de 7 700 institutions dans un seul fichier, et des fichiers structurés incluant communication_channels.csv.gz, conversation_messages.csv.gz, conversations.csv.gz, users.csv.gz.

🌐 Contexte sectoriel

• En 2025, les écoles américaines ont subi plus de 3 000 tentatives d’attaques par semaine
• Plus de la moitié des 500 établissements K-12 sondés ont déclaré avoir subi une cyberattaque
• ShinyHunters a également attaqué Infinite Campus dans le cadre d’attaques liées à Salesforce
• Rappel des incidents majeurs du secteur : PowerSchool (60M étudiants, 2024), Blackbaud (2020), Illuminate (action FTC)

📰 Nature de l’article

Article de presse spécialisée relatant un incident en cours, combinant la chronologie officielle d’Instructure, la revendication de ShinyHunters et une mise en perspective sectorielle sur la cybersécurité dans l’éducation.

🧠 TTPs et IOCs détectés

Acteurs de menace

• ShinyHunters (cybercriminal) — orkl.eu · Malpedia

TTP

• T1566 — Phishing (Initial Access)
• T1598 — Phishing for Information (Reconnaissance)
• T1078 — Valid Accounts (Defense Evasion)
• T1530 — Data from Cloud Storage (Collection)
• T1657 — Financial Theft (Impact)
• T1486 — Data Encrypted for Impact (Impact)

IOC

• Fichiers : communication_channels.csv.gz
• Fichiers : conversation_messages.csv.gz
• Fichiers : conversations.csv.gz
• Fichiers : users.csv.gz

🟡 Indice de vérification factuelle : 55/100 (moyenne)

• ⬜ databreaches.net — source non référencée (0pts)
• ✅ 5124 chars — texte complet (fulltext extrait) (15pts)
• ✅ 4 IOCs (IPs/domaines/CVEs) (10pts)
• ⬜ pas d’IOC vérifié (0pts)
• ✅ 6 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : ShinyHunters (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://databreaches.net/2026/05/03/instructure-discloses-second-data-breach-in-less-than-a-year/