C'è un genere di notizia che ti fa apprezzare i bei vecchi tempi in cui l'unico modo per rovinare un esame era svegliarsi tardi. Benvenuti nel 2026, dove a sabotarti la sessione non è più la sveglia, ma un gruppo di hacker che ti prende in ostaggio il registro elettronico e ci lascia pure il bigliettino con la richiesta di riscatto.
Protagonista della stagione: ShinyHunters, collettivo cybercriminale specializzato in furti di dati su scala industriale ed estorsione. La loro impresa più clamorosa di quest'anno ha un nome che a milioni di studenti fa venire l'orticaria: Canvas, la piattaforma di e-learning gestita dalla società Instructure, usata da università e scuole in mezzo mondo.
Il trucco è vecchio come il telefono
La parte più umiliante della storia è che non c'è nessun film alla Mr. Robot. Niente codice verde che scorre, niente genio incappucciato. La tecnica si chiama vishing — phishing via voce — e funziona così: chiami un dipendente, ti fingi l'assistenza IT interna, gli dici con tono rassicurante che devi "aggiornare le impostazioni MFA", e quello, gentilissimo, ti consegna credenziali e codici di autenticazione su un piatto d'argento.
Come ha raccontato Google (che ha catalogato ShinyHunters come UNC6240), una volta dentro l'account SSO — quello che apre tutte le porte aziendali, da Microsoft 365 a Salesforce a Slack — è festa grande: si esfiltrano i dati e si passa alla fase due, cioè pagaci o pubblichiamo tutto. L'autenticazione a due fattori, quella che dovrebbe salvarci tutti, si rivela inutile quando è il dipendente stesso a regalare l'OTP per cortesia.
Il riscatto pagato proprio durante gli esami
Il dettaglio che trasforma la vicenda in una sceneggiatura crudele: a fine aprile gli intrusi entrano nei sistemi di Canvas e si portano via nomi, email, numeri di matricola e messaggi di oltre 30 milioni tra studenti e personale. Instructure prima minimizza, poi dichiara di aver "contenuto" l'incidente. Peccato che il 7 maggio ShinyHunters rientri come a casa propria e sostituisca la pagina di login con una bella nota di riscatto, mandando in tilt il servizio in pieno periodo di esami finali in diverse università.
Epilogo da manuale di come non gestire una crisi: nonostante l'FBI abbia esplicitamente sconsigliato di cedere — l'agenzia ha pure diramato un avviso pubblico sul caso — Instructure alla fine il riscatto lo paga. Tradotto: il manuale dice "non finanziare i criminali", la realtà dice "ho 30 milioni di matricole arrabbiate e gli esami da far ripartire". Indovinate chi vince.
Non solo studenti: la lista della spesa del 2026
Perché ShinyHunters non vive di solo registro elettronico. Nel loro bottino del 2026 ci sono circa 40 milioni di record dal provider Charter, 6 milioni di clienti della crociera Carnival e — chicca per gli amanti del gossip d'alta finanza — circa 115.000 record dell'ufficio donatori di Harvard, comprese le cifre delle "donazioni a vita" e le strategie interne per accarezzare il portafoglio di gente come Bill Gates. Niente, nemmeno la beneficenza dei miliardari è al sicuro.
E mentre i dati di mezzo pianeta finiscono in vendita, il mercato della cybersicurezza fa l'unica cosa che sa fare in questi casi: festeggia. Proprio in questi giorni la startup israeliana Cyera ha chiuso un round da 600 milioni di dollari a una valutazione di 12 miliardi, vendendo — ovviamente — AI che scansiona i sistemi a caccia di dati sensibili. Il classico schema: la casa va a fuoco e il tizio che vende estintori diventa miliardario.
La morale, se ne esiste una
Il 2026 ci sta insegnando una cosa poco rassicurante: l'anello debole della sicurezza informatica non è quasi mai il software, è la cortesia umana. Si bucano università, multinazionali e perfino agenzie governative non con virus fantascientifici, ma con una telefonata fatta bene. Google e gli esperti ripetono lo stesso mantra da mesi — passkey, chiavi hardware FIDO2, basta codici via SMS — e noi continuiamo a dare l'OTP al primo che ci chiama con voce gentile.
Insomma: la prossima volta che "l'assistenza IT" vi telefona per un urgentissimo aggiornamento, ricordatevi che dall'altra parte potrebbe esserci qualcuno che sta per rovinare la sessione d'esami a un continente intero. E che, statisticamente, gli direte comunque di sì.
Fonti:
Commenti (0)
Moderazione umana, firma anonima accettata. Per favore, niente insulti né maiuscole compulsive.
Ancora nessun commento.