Instructure indgår aftale efter cyberangreb mod Canvas
Rygterne har svirret længe, men nu er det officielt.
Den amerikanske edtech-virksomhed Instructure, der driver læringsplatformen Canvas, har indgået en aftale med den trusselsaktør, der stod bag et omfattende sikkerhedsbrud mod virksomheden. Aftalen skal forhindre offentliggørelse af 3,65 terabyte stjålne data fra tusindvis af uddannelsesinstitutioner.
Det skriver The Hacker News og en række andre medier.
I en opdatering offentliggjort mandag oplyser Instructure, at virksomheden har nået til enighed med den “uautoriserede aktør”, der kompromitterede dele af virksomhedens infrastruktur. Aftalen blev indgået som følge af risikoen for, at data ellers ville blive offentliggjort.
Ifølge Instructure omfatter aftalen alle berørte kunder. Virksomheden oplyser, at de eksfiltrerede data er blevet returneret, og at der foreligger digital dokumentation for, at kopier er blevet destrueret. Samtidig har Instructure fået oplyst, at kunderne ikke vil blive udsat for yderligere afpresning som følge af hændelsen.
Angreb og eskalation
Angrebet tilskrives den kriminelle afpresningsgruppe ShinyHunters, som i slutningen af april 2026 gennemførte et angreb mod Canvas. Hændelsen blev i første omgang vurderet som afgrænset, men den 7. maj blev der konstateret yderligere uautoriseret aktivitet relateret til samme brud.
I denne fase blev presset øget. Omkring 330 institutioner fik ændret deres Canvas-loginportaler, hvor der blev vist afpresningsbeskeder. Samtidig blev Instructure stillet en frist frem til 12. maj for at indlede forhandlinger, ellers ville de stjålne data blive offentliggjort.
Instructure oplyser, at angriberne udnyttede en sårbarhed relateret til håndtering af supportsager i virksomhedens Free-for-Teacher-miljø. Via denne adgang blev der udtrukket anslået 275 millioner dataposter svarende til 3,65 TB data. Angrebet har ifølge virksomheden berørt knap 9.000 organisationer.
Kompromitterede oplysninger
De stjålne data omfatter blandt andet brugernavne, e-mailadresser, kursusnavne, oplysninger om tilmelding samt interne beskeder. Instructure understreger, at der ikke er tegn på, at kursusindhold, afleveringer, adgangskoder eller andre autentifikationsoplysninger er blevet kompromitteret.
Sikkerhedsvirksomheden Halcyon vurderer, at datamaterialet giver trusselsaktører et solidt grundlag for målrettede phishingangreb. Oplysningerne kan anvendes til at udgive sig for at være undervisere, administration eller IT-support i efterfølgende angreb rettet mod studerende, ansatte og forældre.
Afhjælpende tiltag
Som led i hændelseshåndteringen har Instructure midlertidigt lukket alle Free-for-Teacher-konti. Derudover har virksomheden gennemført en række tekniske foranstaltninger, herunder:
- Tilbagekaldelse af privilegerede legitimationsoplysninger og adgangstokens
- Rotation af interne kryptografiske nøgler
- Begrænsning af token-oprettelse i berørte systemer
- Implementering af yderligere sikkerhedskontroller
Instructure oplyser desuden, at virksomheden samarbejder med eksterne specialister om analyse og en gennemgang af de kompromitterede data samt den berørte infrastruktur.
Virksomheden har ikke oplyst nærmere detaljer om den udnyttede sårbarhed, men har bekræftet, at der er iværksat tiltag for at forhindre gentagelser af tilsvarende angreb.
Læs mere
- https://thehackernews.com/2026/05/instructure-reaches-ransom-agreement.html
- https://www.securityweek.com/deal-reached-with-hackers-to-delete-data-stolen-from-the-canvas-educational-platform
- https://therecord.media/instructure-pays-ransom-canvas-incident-congress-investigation
- https://www.malwarebytes.com/blog/news/2026/05/stolen-canvas-data-was-returned-after-hacker-agreement-instructure-says
- https://www.bleepingcomputer.com/news/security/instructure-reaches-agreement-with-shinyhunters-to-stop-data-leak/