Milhões de estudantes e educadores contam com o Canvas, uma plataforma de gestão de aprendizagem gerida pela Instructure, todos os dias para submeter trabalhos, verificar notas, comunicar com instrutores e realizar exames. Mas, em maio de 2026, um ataque de ransomware interrompeu a plataforma e os hackers roubaram informações de estudantes.

A situação ainda está a evoluir, mas os estudantes, pais e professores devem compreender o que aconteceu e tomar algumas medidas práticas para se manterem seguros online.

O que aconteceu no ciberaque ao Canvas? 

A empresa-mãe do Canvas, a Instructure, confirmou que os hackers obtiveram acesso não autorizado a sistemas ligados à plataforma de aprendizagem online. O ataque colocou temporariamente partes do Canvas offline, deixando um grande número de estudantes e educadores impossibilitados de aceder aos trabalhos académicos durante a época de exames finais! Embora a plataforma tenha voltado a estar online, os hackers conseguiram descarregar dados de estudantes.  

Um grupo de hackers conhecido como ShinyHunters assumiu a responsabilidade pela invasão. De acordo com relatos, o grupo ameaçou divulgar dados associados a milhares de escolas e milhões de utilizadores, a menos que fosse pago um resgate. Os hackers invadiram o Canvas enviando código malicioso para os representantes de suporte da plataforma.  

A Instructure anunciou mais tarde que tinha chegado a um acordo com os atacantes e que recebeu o que descreveu como "confirmação digital" de que os dados roubados tinham sido eliminados. No entanto, não há forma de garantir que as informações roubadas sejam destruídas de forma permanente após terem sido levadas – é por isso que, de modo geral, recomendamos que não se pague um resgate. 

De acordo com a empresa, as informações expostas podem ter incluído: 

• Nomes 

• Endereços de email 

• Números de identificação de estudante 

• Mensagens enviadas através do Canvas (como entre estudantes ou entre estudantes e professores) 

A Instructure afirmou não ter encontrado provas de que palavras-passe, datas de nascimento, documentos de identificação emitidos pelo governo ou informações financeiras tenham sido comprometidos. No entanto, é prudente assumir que os hackers possam ter obtido mais do que inicialmente pensamos – alterar a palavra-passe e monitorizar a existência de cobranças suspeitas é uma boa ideia.   

Mesmo com as informações que possuem, os criminosos podem utilizar incorretamente estes dados pessoais básicos em esquemas de phishing, tentativas de personificação e outros ataques de engenharia social. 

O que estudantes, pais e professores devem fazer 

Não precisa de entrar em pânico, mas é um bom momento para aumentar o seu nível de alerta.

Atenção a mensagens de phishing 

Tenha cuidado com emails, mensagens de texto ou chamadas inesperadas que mencionem a falha de segurança do Canvas. Os burlões podem tentar criar um sentimento de urgência, alegando que a sua conta precisa de verificação ou que as suas informações foram expostas. A Federal Trade Commission alertou que os burlões podem aproveitar as notícias sobre a falha para enviar emails ou mensagens de texto falsos que parecem provir das escolas ou das equipas de suporte do Canvas. 

Nunca clique em links, não descarregue anexos de mensagens suspeitas nem responda. Nem sequer clique no botão "cancelar subscrição". Se não tiver a certeza se uma mensagem é legítima, contacte diretamente a sua escola ou o Canvas utilizando as informações de contacto oficiais.

Altere as suas palavras-passe 

Embora a Instructure tenha afirmado que as palavras-passe não foram comprometidas, recomendamos a alteração da sua palavra-passe do Canvas como uma precaução inteligente. Poderá também querer alterar a palavra-passe da sua conta universitária. Isto é especialmente importante se reutilizar palavras-passe em várias contas – um hábito que deve perder! 

Crie palavras-passe fortes e exclusivas para as contas importantes e utilize um gestor de palavras-passe. Uma palavra-passe forte tem pelo menos 16 carateres, é utilizada apenas para uma conta e consiste numa sequência aleatória e complexa de carateres.  

Muitas universidades exigem a autenticação multifator, mas deve ativá-la em todas as contas. Recomendamos a utilização de uma aplicação de MFA independente e segura, como o Duo ou o Google Authenticator.

Monitorize as suas contas 

Fique atento às contas escolares, caixas de entrada de email e outras contas online para detetar atividades suspeitas. Procure emails de redefinição de palavra-passe, alertas de início de sessão ou mensagens que não esperava. Os pais devem falar com os estudantes sobre como funcionam os esquemas de fraude e incentivá-los a fazer uma pausa antes de responderem a mensagens online urgentes. 

Em geral, recomendamos que bloqueie o seu crédito caso o seu número de Segurança Social seja roubado numa falha de segurança. Embora não tenha sido mencionado que os números de Segurança Social tenham sido roubados na falha do Canvas, é um bom hábito a manter. Nomes e datas de nascimento foram roubados – estes podem ser utilizados em conjunto com um número de Segurança Social proveniente de outras fugas de informação para tentar o roubo de identidade. Bloquear o seu crédito é gratuito e pode desbloqueá-lo temporariamente quando solicitar um crédito.

Estude online em segurança 

Os ciberaques que afetam escolas e plataformas educativas são agora comuns, mas a consciencialização e os bons hábitos podem fazer a diferença. Desconfie de quaisquer mensagens recebidas inesperadas, mantenha hábitos de palavras-passe fortes e ativar funcionalidades de segurança pode ajudar a reduzir o seu risco. Para mais dicas, subscreva a nossa newsletter gratuita por email.