Sikt uppger att man informerades av Instructure på torsdagsmorgonen om att en uppgörelse hade träffats, men myndigheten var inte medveten om att förhandlingar pågick och uppmuntrade inte företaget att förhandla. Enligt Sikt finns det alltid en risk med sådana avtal att data redan har kopierats eller kan dyka upp senare. Det är fortfarande okänt hur mycket Instructure betalade hackarna, om något alls.
Intrånget, som gjordes anspråk på av ShinyHunters-gruppen, drabbade universitet och skolor i USA, Kanada, Australien och Europa. ShinyHunters uppgav att man exfiltrerat 3,65 TB data från cirka 275 miljoner poster från 8 809 utbildningsinstitutioner och vandaliserat Canvas inloggningsportaler vid cirka 330 institutioner. Gruppen övergick senare till direkt utpressning skola för skola med en slutdeadline den 12 maj 2026.
Exponerade data inkluderar fullständiga namn, e-postadresser, student-ID-nummer och Canvas-chattar. ShinyHunters är en ekonomiskt motiverad grupp som bildades 2019 och driver en 'betala eller läcka'-modell utan ransomware-kryptering. Den har operativa överlappningar med Scattered Spider, LAPSUS$ och SLSH.
Gruppen utnyttjar felkonfigurationer i vanliga företagsapplikationer snarare än avancerad skadlig kod. Detta är dess andra intrång hos Instructure på åtta månader; det tidigare i september 2025 riktade sig mot Salesforce-miljön via social manipulation. Attacken upptäcktes första gången den 30 april 2026 när Instructure rapporterade störningar som påverkade verktyg som förlitar sig på API-nycklar.
Instructure säger att det omedelbara hotet är under kontroll och att det inte finns några tecken på att lösenord, födelsedatum, statliga ID-handlingar eller finansiell information har äventyrats, även om den exponerade datan är tillräcklig för riktade nätfiskeattacker. I Sverige har 27 högre lärosäten rapporterat misstänkta personuppgiftsincidenter till Integritetsskyddsmyndigheten (IMY). IMY har ännu inte avgjort om någon faktisk läcka inträffat och råder studenter att vara vaksamma mot nätfiske.
Uppsala universitet bekräftade att data inklusive namn och e-postadresser har läckt. se beskrev Katarina Adenmark, tillförordnad IT-chef vid Uppsala universitet, händelsen som oöverträffad i omfattning. Mittuniversitetet uppgav att integrationer mellan Canvas och andra system tillfälligt inaktiverades som en säkerhetsåtgärd, men inga Ladok-data äventyrades.
Jag kan inte minnas att något på den här skalan har hänt tidigare.
Högskolan Väst har ökat övervakningen av Canvas. I Norge använder nästan alla högskolor och universitet Canvas, och avtalet förvaltas av Sikt. Sikt uppgav att Instructure upptäckte obehörig åtkomst och att det är troligt att data om norska studenter och anställda har exponerats.
NIH har underrättat norska Datatilsynet. ShinyHunters har varit aktivt på senare tid, med intrång hos nederländska telekombolaget Odido i februari 2026 och påstås ha stulit 350 GB data från Europeiska kommissionen i mars 2026. Intrånget orsakade att Canvas gick offline, och vissa universitet rapporterade fortfarande avbrott på fredagen.
En lösennota dök upp på skärmar vid Mississippi State University som hotade att släppa stulna data om inte en lösen betalades. University of Sydney bad studenter att inte logga in, och Idaho State University ställde in tentor. Penn State University uppgav att en lösning var osannolik inom 24 timmar.
University of British Columbia informerade studenter om cyberintrånget. Instructure upptäckte intrånget den 29 april 2026, genom att utnyttja en sårbarhet i ett leverantörssystem, och återkallade åtkomst. Den 3 maj publicerade ShinyHunters Instructure på sin dataläckagesida med ett lösenkrav.
Läckan innehåller upp till 231 miljoner unika e-postadresser. Uppsala universitets studenter möttes av hot om dataläckage när de försökte logga in. Det finns inga indikationer på att känsligare data som personnummer har läckt.
Uppsala universitet rekommenderar användare av gästkonton att byta lösenord.