Scommetto che molti di voi hanno passato la serata a compilare kernel o a cercare di far girare un vecchio gioco arcade su un Raspberry Pi, ma la notizia che sta girando tra i server è decisamente meno divertente di un segnale video disturbato.
Canvas, la piattaforma di Learning Management System (LMS) che gestisce la vita accademica di milioni di persone, è andata in manutenzione forzata. E non perché abbiano deciso di fare un upgrade estetico alle interfacce (che tanto sono comunque pesanti), ma perché ShinyHunters ha deciso di bussare alla porta di Instructure. E non è stata una visita di cortesia.
Il gruppo, che ha già fatto saltare per aria nomi pesanti come Ticketmaster e Rockstar Games, ha dichiarato apertamente di aver violato il sistema. La cosa che fa venire voglia di lanciare il mio saldatore contro il muro? Il loro messaggio di sfida. Pare che Instructure, invece di sedersi a un tavolo e gestire la cosa in modo trasparente, abbia scelto la strategia preferita del management moderno: ignorare il problema e applicare ‘alcuni patch di sicurezza’. Spoiler: non ha funzionato.
ShinyHunters ora sta facendo il classico ultimatum da cattivo dei film anni ’80, dando alle scuole fino al 12 maggio 2026 per pagare un riscatto via Tox, altrimenti i dati di circa 275 milioni di studenti e docenti — nomi, email, ID e messaggi privati — finiranno in pubblico. Una lista di circa 9.000 istituzioni è già nel mirino.
Da smanettone, questa cosa mi fa imbestialire. È il classico esempio di fallimento del corporate-speak. Invece di un approccio basato sulla trasparenza e sulla risposta rapida agli incidenti, abbiamo visto un tentativo di ‘mettere sotto tappeto’ la vulnerabilità sperando che il problema sparisse da solo. Se sei un maker o un dev, sai bene che una patch applicata senza capire la root cause è come mettere un pezzo di nastro adesco su un tubo sotto pressione: finché regge, ok, ma appena la pressione sale, l’esplosione è garantita.
Per noi che amiamo smontare le cose, questo è un monito brutale sulla fragilità dei sistemi centralizzati. Siamo abituati a costruire macchine CNC o stampanti 3D dove il fallimento è locale, fisico, risolvibile con un po’ di ingegno. Ma quando il fallimento è digitale e gestito da colossi che trattano i dati come semplici entry in un database, le conseguenze sono globali e incontrollabili.
Cosa dobbiamo imparare? Che il vendor lock-in su piattaforme cloud massicce è un rischio enorme. Se la tua intera identità digitale o quella dei tuoi studenti risiede in un unico enorme silos gestito da chi preferisce il ‘silenzio operativo’ alla sicurezza reale, sei solo a un exploit di distanza dal disastro. La prossima volta che sentite parlare di ‘security enhancements’ senza un vero report tecnico, tenete pronti i backup e, se potete, cercate alternative più decentralizzate e meno… corporative.
Source: Canvas is down as ShinyHunters threatens to leak schools’ data