Nel mese di maggio 2026 il gruppo di cybercriminali ShinyHunters ha violato la piattaforma per education Canvas di Instructure, sottraendo qualcosa come 6,6 TB di dati. Il sistema di apprendimento Canvas viene utilizzato da moltissimi istituti di istruzione superiore e università nel mondo per lo scambio di contenuti didattici, compiti e voti, con oltre 30 milioni di utenti attivi. La violazione del sistema ha quindi messo a rischio le informazioni personali di milioni di studenti, includendo nomi, indirizzi e-mail, numeri di matricola e messaggi scambiati tra gli studenti. Gli hacker hanno nella fattispecie sfruttato una vulnerabilità legata al servizio Free-for-teacher della piattaforma web, ma l’attacco mostra anche la facilità con cui i cybercriminali possono approfittare di account e servizi dimenticati e non sorvegliati per accedere alla rete di un’organizzazione.
La presenza di account non controllati — come utenze inattive, accessi concessi ai fornitori, servizi cloud attivi da lungo tempo senza verifiche periodiche o account dismessi — rappresenta un tema cruciale per la sicurezza informatica, che riguarda non solo le grandi organizzazioni ma anche le PMI. Sebbene le aziende tendano a concentrare gli investimenti in strumenti come firewall, antivirus, backup e protezione degli endpoint, questi punti di accesso dimenticati all’infrastruttura IT costituiscono spesso elementi critici trascurati. Si tratta infatti di potenziali ingressi non sorvegliati per gli attaccanti, che ampliano la superficie esposta e incrementano significativamente il rischio informatico.
Nel caso specifico, dopo aver ottenuto l’accesso sfruttando servizi secondari non adeguatamente monitorati, il gruppo di cybercriminali ha introdotto file HTML malevoli, alterando l’interfaccia originale della piattaforma e reindirizzando gli utenti verso una schermata contenente un messaggio di ricatto. Gli attaccanti minacciavano la pubblicazione dei dati esfiltrati, che secondo quanto dichiarato dal gruppo riguarderebbero 275 milioni di persone appartenenti a quasi 9.000 scuole.
Porte aperte e servizi non utilizzati rappresentano un grave rischio per la cybersecurity aziendale, poiché possono essere facilmente individuati dagli attaccanti attraverso semplici attività di scansione, diventando così punti di accesso per il rilascio di malware o per il controllo dei server. Per proteggere la rete da accessi indesiderati è quindi necessario adottare una serie di misure preventive, a partire dalla verifica e disattivazione di tutti gli account inutilizzati, che ampliano inutilmente la superficie di attacco.
È inoltre fondamentale assicurarsi che l’autenticazione a più fattori (MFA) sia abilitata non soltanto per la posta elettronica, ma anche per tutti i servizi cloud e per gli accessi remoti alla rete aziendale. Allo stesso modo, è opportuno effettuare una mappatura e una revisione periodica dei servizi e delle piattaforme rimasti nel tempo privi di gestione, non più utilizzati o abbandonati senza monitoraggio.
Si tratta di misure che evidenziano come la sicurezza informatica non dipenda esclusivamente dall’adozione di tecnologie, ma sia soprattutto una questione di governance, visibilità e controllo continuo delle risorse digitali dell’organizzazione.
Una difesa efficace contro gli attacchi che sfruttano porte di rete inutilizzate o inattive richiede l’adozione di una serie di misure preventive. Tra queste rientra innanzitutto la chiusura di tutte le porte TCP/UDP non più necessarie su router e firewall aziendali. È inoltre opportuno configurare i firewall in modo da bloccare le connessioni in ingresso non autorizzate e implementare un’adeguata segmentazione della rete, così da isolare i sistemi critici — come, nel caso dell’attacco a Canvas, i database contenenti i dati degli studenti — impedendo l’accesso a informazioni riservate tramite tentativi di connessione provenienti dall’esterno.
Infine, è fondamentale introdurre un monitoraggio continuo della rete, in grado di rilevare attività di scansione anomale attraverso strumenti come IDS/IPS (Intrusion Detection/Prevention Systems), utili a identificare e bloccare tempestivamente comportamenti sospetti.