Hackargruppen ShinyHunters riktar in sig på Canvas – miljoner användare drabbade

Fakta

• Den kriminella gruppen ShinyHunters har genomfört en cyberattack mot Instructure, företaget bakom Canvas.
• ShinyHunters hävdar att de har stulit personuppgifter från cirka 275 miljoner användare.
• Över 40 procent av alla högskolor och universitet använder Canvas.
• Hackarna krävde en lösensumma av Instructure senast den 6 maj 2026.
• Instructure bekräftar en cyberincident och dataintrång i sin molnbaserade miljö.
• Säkerhetsexperter varnar för att attacker mot tredjepartsleverantörer kan leda till mer sofistikerade nätfiskeattacker.

Massivt dataintrång mot Canvas-plattformen

Den ed-tech-jätte som ligger bakom den vitt spridda lärplattformen Canvas, Instructure, har bekräftat en allvarlig cyberincident. Enligt uppgifter från den kriminella gruppen ShinyHunters har de lyckats stjäla personuppgifter från uppskattningsvis 275 miljoner användare. Dessa användare inkluderar studenter, lärare och personal vid de otaliga utbildningsinstitutioner som använder Canvas. Incidenten understryker den ökande risk som utbildningssektorn löper, där cyberkriminella ser ett stort värde i att attackera centrala leverantörer snarare än enskilda institutioner. Mer än 40 procent av världens högskolor och universitet förlitar sig på Canvas för sin digitala undervisning, vilket gör en attack mot Instructure till en potentiellt omfattande händelse. ShinyHunters har tidigare riktat in sig på andra stora aktörer inom teknik- och utbildningssektorn. Gruppen har kopplats till intrång hos Salesforce, Infinite Campus och förlaget McGraw Hill, vilket visar på ett mönster av riktade attacker mot företag som hanterar stora mängder känslig data.

Hackarnas krav och Instructures respons

Hackargruppen ShinyHunters har inte bara genomfört intrånget utan också framfört ett tydligt krav till Instructure. De har hotat med att läcka de stulna uppgifterna om inte företaget betalar en lösensumma senast den 6 maj 2026. I ett meddelande varnade de Instructure för att "göra rätt beslut" för att undvika att bli "nästa rubrik". Instructure har bekräftat att en incident har inträffat och att de utreder saken med hjälp av externa experter. Företaget har dock inte kommenterat detaljer kring lösensumman eller specifika frågor om attacken. Enligt uttalanden från Steve Proud, Instructures informationssäkerhetschef, har de "aktivt utrett incidenten" och arbetat för att återställa tjänsterna. Även om Instructure uppger att de har begränsat attacken och att vissa tjänster som Canvas Data 2 och Beta nu ska vara tillgängliga, kvarstår oro. En version av lärplattformen, Canvas Test, är fortfarande under underhåll, vilket indikerar att vissa systempåverkan kvarstår.

Omfattningen av den stulna datan

Enligt ShinyHunters har de kommit över ungefär 275 miljoner poster kopplade till användare av Canvas-plattformen. Gruppen har delat en lista med 8 809 skoldistrikt, universitet och onlineutbildningsplattformar som de hävdar har påverkats, med varierande antal drabbade poster per institution – från tiotusentals till flera miljoner. En analys av en del av den stulna datan, som har granskats av nyhetsmedier, visar att den innehåller namn, e-postadresser och vissa telefonnummer. Viktigt att notera är att lösenord och andra typer av data som Instructure uppger inte påverkades av intrånget, inte heller verkar ha kommit i hackarnas händer. Experter varnar dock för att även denna typ av information kan vara extremt värdefull för kriminella. Med tillgång till verkliga namn och e-postadresser kan framtida nätfiskeattacker bli betydligt mer personliga och trovärdiga. Istället för generiska meddelanden kan attackerna referera till specifika kurser och konversationer, vilket ökar sannolikheten för framgång.

Varning för framtida attacker och skyddsåtgärder

Denna incident belyser en bredare trend där cyberkriminella ser ett ökat värde i att attackera tredjepartsleverantörer. Genom att penetrera en central aktör som Instructure kan de potentiellt nå en enorm mängd data från många olika organisationer samtidigt. Detta minskar deras ansträngning per institution och ökar den potentiella vinsten. För föräldrar och studenter som kan vara drabbade, rekommenderas flera skyddsåtgärder. Det första steget är att noga granska eventuella meddelanden från skolan eller Instructure för att förstå exakt vilken data som kan ha läckt. Det är också viktigt att verifiera äktheten i sådana meddelanden genom att besöka skolans eller Instructures officiella webbplatser. Vidare betonas vikten av starka och unika lösenord för alla konton, särskilt för Canvas-relaterade tjänster. Aktivering av multifaktorautentisering (MFA) rekommenderas starkt, liksom att uppmana barn att aldrig dela säkerhetskoder. För mer känsliga uppgifter bör man undersöka vilka skyddsåtgärder, som kreditövervakning, som erbjuds av berörda parter.

Systemiska risker och framtiden för cybersäkerhet

Incidenten med Canvas är en skarp påminnelse om att även organisationer som vidtar rimliga säkerhetsåtgärder kan vara sårbara genom sina leverantörskedjor. Det understryker behovet av en mer systemisk ansats till cybersäkerhet, där inte bara de direkta användarna utan även deras leverantörer granskas noggrant. Experter menar att detta kräver starkare försvar, ökad ansvarsskyldighet i leverantörskedjorna och en insikt om att dataintrång inte är isolerade händelser. De utgör en del av ett bredare strategiskt hotlandskap där kriminella aktörer ständigt söker nya vägar för att utnyttja sårbarheter. Framöver kommer fokus sannolikt att ligga på att stärka säkerheten hos tredjepartsleverantörer och att utveckla bättre metoder för att upptäcka och hantera attacker som dessa. Utbildningssektorn, med sin stora mängd känslig data om unga individer, förblir en attraktiv måltavla som kräver kontinuerlig vaksamhet och anpassning av säkerhetsstrategier.

Sammanfattning

• ShinyHunters har attackerat Instructure och hävdar att 275 miljoner användarposter från Canvas-plattformen har stulits.
• Instructure, som driver Canvas, bekräftar en cyberincident och dataintrång i sin molnmiljö.
• Hackarna har krävt en lösensumma av Instructure senast den 6 maj 2026.
• Den stulna datan tros inkludera namn och e-postadresser, vilket ökar risken för mer sofistikerade nätfiskeattacker.
• Över 40 procent av världens högskolor och universitet använder Canvas, vilket gör attacken potentiellt mycket omfattande.
• Incidenten belyser sårbarheten hos tredjepartsleverantörer och behovet av en systemisk ansats till cybersäkerhet.