Hackergruppen ShinyHunters angriper læringsplattformen Canvas

Fakta

• Læringsplattformen Canvas, brukt av over 40 prosent av universiteter og høyskoler, er utsatt for et dataangrep.
• Den kriminelle hackergruppen ShinyHunters hevder å stå bak angrepet og krever løsepenger.
• Instructure, selskapet bak Canvas, bekrefter et sikkerhetshendelse og datainnbrudd i sitt skymiljø.
• ShinyHunters hevder å ha stjålet personopplysninger fra rundt 275 millioner brukere, inkludert studenter, lærere og ansatte.
• Fristen for å betale løsepengene er satt til 6. mai 2026, med en ytterligere frist for universiteter til 12. mai.
• Angrepet rammer ikke bare enkeltinstitusjoner, men også tredjepartsleverandører som Instructure.
• Dataene som er stjålet inkluderer navn, e-postadresser, student-ID-numre og kursinformasjon.

Ed-tech-giganten Canvas rammet av kriminelt angrep

Læringsplattformen Canvas, som benyttes av over 40 prosent av alle universiteter og høyskoler, har nylig blitt utsatt for et omfattende dataangrep. Den kriminelle hackergruppen ShinyHunters, kjent for tidligere storskala datainnbrudd, hevder å stå bak hendelsen. Gruppen har truet med å lekke stjålne data med mindre Instructure, selskapet som drifter Canvas, betaler løsepenger. Hendelsen sender sjokkbølger gjennom utdanningssektoren, som igjen blir minnet på sin sårbarhet for cyberkriminelle. Angrepet understreker den økende verdien cyberangripere ser i å målrette tredjepartsleverandører fremfor enkeltinstitusjoner, noe som gir dem tilgang til et bredere spekter av sensitive data. Instructure bekreftet hendelsen og opplyste at de aktivt etterforsker angrepet med hjelp fra eksterne eksperter. Selskapet har imidlertid ikke kommentert løsepengekravet direkte, men har publisert oppdateringer om status for systemene sine.

ShinyHunters' modus operandi og tidligere angrep

ShinyHunters er ikke ukjent for utdanningssektoren. Gruppen har tidligere angrepet andre sentrale aktører innen ed-tech. Høsten 2025 ble Salesforce hacket, noe som resulterte i at data fra rundt én milliard kundeposter på tvers av dusinvis av selskaper ble kompromittert – Instructure var blant disse. I mars ble Infinite Campus, et annet mye brukt system for K-12-skoler, infiltrert, og i april tok gruppen på seg ansvaret for et datainnbrudd hos forlaget McGraw Hill. Eksperter advarer om at disse angrepene gir cyberkriminelle en enorm fordel. Ved å få tilgang til navn, e-postadresser og til og med meldinger mellom lærere og studenter, kan fremtidige phishing-forsøk bli langt mer personlige og dermed mer effektive. Dette utgjør en betydelig økt risiko for både enkeltpersoner og institusjoner. Angrepet mot Instructure og Canvas ser ut til å ha startet sent forrige uke, da brukere rapporterte forstyrrelser i sine autentiseringsnøkler. Kort tid etter mottok Instructure kravet fra ShinyHunters: "BETAL ELLER LEKK."

Krav og tidsfrister satt av hackergruppen

Hackergruppen har gitt Instructure en frist til 6. mai 2026 for å respondere på kravet, og advarer om at de vil lekke data og forårsake «irriterende digitale problemer» dersom selskapet ikke «tar det riktige valget». Dette vil gjøre Instructure til «den neste overskriften». I tillegg har ShinyHunters sendt ut en melding via Penns Canvas-side, der de oppfordrer universiteter som ikke ønsker at dataene deres skal bli offentliggjort, til å kontakte gruppen innen 12. mai. Denne meldingen erstattet senere en standardmelding om «planlagt vedlikehold» fra Canvas. Gruppen hevder at Instructure ignorerte deres tidligere forsøk på kontakt og kun implementerte «sikkerhetsoppdateringer» i stedet for å løse sårbarhetene de hadde funnet. De oppfordrer berørte skoler til å «forhandle frem en løsning».

Omfanget av datalekkasjen og berørte institusjoner

ShinyHunters hevder å ha stjålet personopplysninger fra omtrent 275 millioner brukere på Instructures Canvas-plattform. Gruppen har delt en liste med BleepingComputer som inneholder 8 809 skoledistrikter, universiteter og nettbaserte utdanningsplattformer som de hevder ble påvirket. Antallet kompromitterte poster per institusjon varierer fra titusenvis til flere millioner. Ifølge rapporter som har sett utdrag av stjålne data fra universiteter i Tennessee og Massachusetts, inkluderer dataene navn, e-postadresser og noen telefonnumre. Instructure har imidlertid uttalt at passord og andre typer data som ikke er relatert til læringsplattformens kjernefunksjonalitet, ikke ble påvirket av bruddet. Alle de åtte Ivy League-universitetene skal også være blant de nesten 9 000 institusjonene som er berørt av angrepet. Penn University opplyste at blant de kompromitterte dataene for deres 306 000 tilknyttede personer, var e-poster, navn, Penn ID-numre og kursregistreringer.

Konsekvenser og anbefalte sikkerhetstiltak

Denne hendelsen fremhever den systemiske risikoen som oppstår når en sentral leverandør blir kompromittert. Selv organisasjoner som tar sikkerhet på alvor, kan bli eksponert gjennom sine betrodde leverandører. Dette krever en helhetlig tilnærming til cybersikkerhet, med sterkere forsvar, bedre ansvarlighet i forsyningskjeden og en erkjennelse av at datainnbrudd er en del av et bredere strategisk trusselbilde. Foreldre og foresatte som får beskjed om at deres barn er rammet, oppfordres til å følge spesifikke anbefalinger fra skolen og Instructure. Det er viktig å verifisere ektheten av varsler, endre passord umiddelbart for Canvas og andre relaterte kontoer, og bruke unike, sterke passord for hver tjeneste. Implementering av multifaktorautentisering (MFA) anbefales sterkt for å gjøre det vanskeligere for uvedkommende å få tilgang til kontoer. Sikkerhetskoder bør aldri deles, selv om meldinger virker presserende eller bruker skolens merkevare. Dersom sensitive identifikatorer som nasjonale ID-numre er involvert, bør man undersøke hvilken beskyttelse som tilbys av skolen og leverandøren, som kredittovervåking eller identitetsrestaureringstjenester.

Veien videre for Canvas og utdanningssektoren

Per mandag har Instructure opplyst at Canvas Data 2 og Beta-versjonen skal være tilgjengelig for alle kunder igjen, mens Canvas Test fortsatt er under vedlikehold. Til tross for at selskapet jobber med å gjenopprette full funksjonalitet, tjener hendelsen som en alvorlig advarsel for hele sektoren. Spørsmålet som gjenstår er hvordan utdanningsinstitusjoner og teknologileverandører kan styrke sine forsvarsmekanismer for å motstå slike angrep i fremtiden. Behovet for økt samarbeid, strengere sikkerhetsstandarder og en mer proaktiv holdning til trusselvurdering er tydeligere enn noensinne. Det er avgjørende at sektoren lærer av denne hendelsen for å bygge mer robuste systemer som kan beskytte studenters og ansattes data mot fremtidige cybertrusler. Den langsiktige påvirkningen av slike angrep kan være betydelig, og krever kontinuerlig årvåkenhet og investering i cybersikkerhet.

Oppsummering

• Den populære læringsplattformen Canvas har vært utsatt for et betydelig dataangrep fra hackergruppen ShinyHunters.
• Angrepet understreker sårbarheten til tredjepartsleverandører i utdanningssektoren.
• ShinyHunters krever løsepenger og truer med å lekke personopplysninger fra millioner av brukere.
• Dataene som er kompromittert inkluderer navn, e-postadresser og student-ID-numre.
• Institusjoner og brukere oppfordres til å implementere sterke sikkerhetstiltak, inkludert multifaktorautentisering.
• Hendelsen krever en helhetlig tilnærming til cybersikkerhet i utdanningssektoren.