april 8, 2026 eBuilder skriver avtal kring MDR/SOC med en hotellkedja.
mars 13, 2026 eBuilder skriver avtal om SOC-tjänst med mellansvensk kommun.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilders Complorer för cybersäkerhetsutbildning.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilder som leverantör för Penetrationstestning.
mars 2, 2026 En kommunikations-/brandingbyrå väljer eBuilders Complorer för cybersäkerhetsutbildning.
februari 13, 2026 eBuilder Security skriver avtal om kontinuerlig pentesting med ett svenskt AI-bolag.
februari 11, 2026 eBuilder Security säljer Complorer säkerhetsutbildning till en a-kassa.
januari 30, 2026 eBuilder skriver 3års-avtal med en svensk kommun för MDR/SOC.
Company News
mobile-menu-icon
Dataintrång

Canvas-bräckan: Inifrån attacken som exponerade 275 miljoner studenter

Blog Reading Time 7 Lästid / maj 11, 2026
Canvas Breached: Inside the Hack That Exposed 275 Million Students

Dataläckan som drabbat Instructures lärplattform Canvas beskrivs nu som den största säkerhetsincidenten inom utbildningssektorn som hittills registrerats. Men händelseförloppet är både större och mer långvarigt än vad den tidigare rapporteringen gav sken av. Dem som började som en till synes begränsad API-störning den 29 april har utvecklats till en pågående utpressningskampanj där hackergruppen ShinyHunters kräver betalning före slutet av dagen den 12 maj.

Här är den samlade bilden utifrån vad som hittills har bekräftats, korrigerats och nyrapporterats.

Vad som hände – i korthet

Instructure bekräftade den 1 maj 2026 att en kriminell hotaktör hade fått obehörig åtkomst till företagets system. Enligt utredare tog sig ShinyHunters in i miljön redan den 25 april, men intrånget upptäcktes först den 29 april. Det bekräftade exponeringsfönstret för data sträckte sig från den 30 april till den 7 maj, alltså omkring åtta dagar. Den exponerade informationen ska ha omfattat namn, e-postadresser, student-ID-nummer och privata meddelanden mellan elever och lärare. Instructure uppgav att det inte finns några tecken på att lösenord, födelsedatum, statliga ID-handlingar eller finansiell information har komprometterats, även om utredningen fortfarande pågår.

ShinyHunters tog på sig ansvaret den 3 maj och publicerade ett utpressningsmeddelande med texten ”PAY OR LEAK”. Gruppen hävdade att den stulit 3,65 TB data från omkring 275 miljoner användare vid nära 9 000 utbildningsinstitutioner.

TechCrunch granskade provdata från två amerikanska skolor och rapporterade att en medlem i ShinyHunters påstod att arkivet innehöll cirka 231 miljoner unika e-postadresser, även om siffran inte har verifierats oberoende.

Den 7 maj fick angriparna åter tillgång till Canvas, vilket ledde till att studenter möttes av ett nytt lösensummekrav direkt på sina dashboards mitt under tentaperioden. Instructure tog då Canvas offline och återställde tjänsten den 8 maj. Vid publiceringstillfället hade företaget fortfarande inte bekräftat om någon lösensumma betalats eller vad som hänt med den stulna datan.

Detta var ingen överraskningsattack

Attacken mot Canvas i maj 2026 var inte en isolerad incident. ShinyHunters hade enligt uppgifter riktat in sig på Instructures miljö i minst åtta månader före attacken. I september 2025 komprometterade gruppen Instructures Salesforce-miljö genom social engineering. Instructure uppgav då att ingen produktdata från Canvas påverkades och beskrev incidenten som begränsad. Säkerhetsforskare ser nu händelsen som en tidig varningssignal som kanske aldrig hanterades fullt ut.

Under samma period attackerade ShinyHunters även University of Pennsylvania. Efter att universitetet vägrat betala en lösensumma på en miljon dollar publicerade gruppen stulna universitetsdokument den 4 februari 2026, följt av ytterligare 461 MB data den 5 mars. Det innebar att Instructure hade minst åtta månader mellan Salesforce-intrånget och Canvas-attacken i maj 2026 för att utreda och stänga potentiella åtkomstvägar. Företaget har inte offentligt redovisat några större säkerhetsåtgärder under den perioden.

”Containment” den 2 maj höll inte

Instructures offentliga kommunikation efter intrånget fick skarp kritik från säkerhetsforskare. Företaget uppgav den 2 maj att incidenten hade ”begränsats”. Bolagets CISO, Steve Proud, sade att angriparnas åtkomst hade återkallats, API-nycklar roterats och säkerhetsuppdateringar installerats.

Fem dagar senare var ShinyHunters tillbaka inne i systemen. Gruppens lösensummemeddelande den 7 maj löd: ”Instead of contacting us to resolve it, they ignored us and did some ‘security patches.’”

Instructure tycks dessutom ha försökt tona ned det andra intrånget i realtid. Den 7 maj började studenter se ShinyHunters lösensummemeddelande på Canvas inloggningssidor.

Tidningen The Daily Pennsylvanian rapporterade att meddelandet ersattes omkring klockan 16:20 Eastern Time på Penns inloggningssida specifikt, medan Wikipedia och andra plattformsövergripande källor anger att Instructures underhållsmeddelande dök upp omkring klockan 20:00 Eastern Time över Canvas i stort. Tidpunkten 20:00 är den mest brett bekräftade uppgiften. Det exakta tidsintervallet mellan defaceringen och Instructures offentliga erkännande är fortfarande omtvistat och har inte verifierats oberoende.bekräftas.

Rotorsaken: Free-For-Teacher-konton

Instructure har bekräftat att angriparna utnyttjade en svaghet i företagets Free-For-Teacher-program. Programmet gjorde det möjligt för lärare att skapa Canvas-konton utan institutionell verifiering och därmed få tillgång till Canvas-funktioner för undervisning. Eftersom dessa konton fungerade som aktiva produktionsmiljöer med lägre säkerhetskrav skapade de en ingång till institutionell data som inte hade varit möjlig via normala verifierade konton.

Instructure stängde permanent ned Free-For-Teacher-programmet den 7 maj.

Global påverkan- även Sverige drababt

Intrånget fick global påverkan och drabbade utbildningsinstitutioner i minst tio länder, däribland USA, Kanada, Storbritannien, Australien, Sverige, Nederländerna, Nya Zeeland, Singapore och Hongkong. I USA används Canvas brett inom både högre utbildning och grund- och gymnasieskolor, vilket innebär att vissa drabbade användare kan vara minderåriga. Australien rapporterade omfattande störningar vid skolor och universitet.

I Sverige uppges 31 universitet ha påverkats, däribland Försvarshögskolan, som utbildar militärer och försvarspersonal. Universitetet uppgav att man behandlar situationen som en kompromettering enligt försiktighetsprincipen och har anmält incidenten till Integritetsskyddsmyndigheten. Även Kanada, Nederländerna, Hongkong och Nya Zeeland rapporterade drabbade universitet, högskolor och skolor, där vissa institutioner tillfälligt kopplade bort Canvas från interna system medan utredningar pågår.

Hur ShinyHunters arbetar

ShinyHunters förlitar sig vanligtvis på felkonfigurerade molnmiljöer, stulna OAuth-token, API-uppgifter och social engineering snarare än avancerad skadlig kod eller zero-day-sårbarheter. Gruppens senaste kampanjer visar en förskjutning mot leverantörsekosystem, där man riktar in sig på plattformar som kopplar samman tusentals organisationer samtidigt.

Gruppens utpressningsmodell är enkel: stjäl data, namnge offret offentligt, sätt en deadline och hota med publicering. I fallet med Instructure ökade ShinyHunters pressen efter deadline den 6 maj genom att enligt uppgift defacera Canvas-inloggningssidor vid omkring 330 institutioner och kontakta medier direkt.

Gruppen har satt en slutlig deadline till slutet av den 12 maj 2026. Instructure har fortfarande inte bekräftat om någon lösensumma betalats eller om den stulna datan har säkrats. Om informationen läcks kan namn, e-postadresser, student-ID-nummer och privata meddelanden användas för phishing, identitetsbedrägerier och social engineering.

Vad du bör göra nu

Oavsett om en lösensumma betalas eller inte finns den åtkomna datan redan i ShinyHunters händer. Alla som har använt Canvas någon gång sedan ungefär 2020 bör utgå från att deras uppgifter kan vara exponerade.

  • Byt ditt Canvas-lösenord omedelbart, även om din institution ännu inte har meddelat dig.
  • Om du har återanvänt samma lösenord någon annanstans bör du byta det där också.
  • Var mycket skeptisk till e-post, meddelanden eller telefonsamtal som påstår sig komma från din skola, Canvas eller Instructure, särskilt sådana som ber om inloggningsuppgifter eller betalningsinformation.
  • För föräldrar till skolbarn kan intrånget omfatta barnets namn, skolmejl och student-ID. Var uppmärksam på riktade meddelanden till dem.
  • Institutioner som använder Canvas-integrationer via API bör granska vilka tredjepartsapplikationer som har aktiv åtkomst och återkalla allt som inte längre behövs.
  • Behåll en förhöjd vaksamhet mot phishing i minst 90 dagar. ShinyHunters har vid tidigare incidenter använt stulen data för riktade uppföljningskampanjer långt efter det ursprungliga intrånget.

Referenser

  1. Canvas Breach Disrupts Schools & Colleges Nationwide
  2. Hackers steal students’ data during breach at education tech giant Instructure
  3. Hackers deface school login pages after claiming another Instructure hack
  4. ShinyHunters Claims Second Attack Against Instructure
  5. Education Sector in the Crosshairs: ShinyHunters’ Extortion Campaign Against Instructure
  6. Penn data leaked after University refused to pay $1 million ransom
  7. Cybercrime group crashes Penn’s Canvas system, demands ransom
  8. Säkerhetsincident i lärplattformen Canvas
  9. Technical Advisory: ShinyHunters Breach of Instructure Canvas LMS

This post is also available in: English

Related News

DigiCert Breach Via Screensaver Enables Malware Signing, Microsoft Defender Chaos

DigiCert hackades via skärmsläckare angripare signerade malware med stulna certifikat

Cyber News Calendar icon maj 11, 2026
ShinyHunters Steals Student Data From 275 Million Canvas Users

ShinyHunters stjäl studentdata från 275 miljoner Canvas-användare

Cyber News Calendar icon maj 6, 2026

Kritisk sårbarhet i cPanel utnyttjades i månader före patch

En kritisk sårbarhet för autentiseringsförbikoppling i cPanel har utnyttjats aktivt sedan februari, två månader innan leverantören släppte en patch. CVE-2026-41940 har CVSS-poäng 9,8 och låter…

Cyber News Calendar icon maj 5, 2026

CISA listar nio år gammal Linux-bugg efter aktiva angrepp

CISA lade på fredagen till CVE-2026-31431 i sin katalog över Known Exploited Vulnerabilities, vilket bekräftar att en nio år gammal sårbarhet i Linux-kärnan utnyttjas i…

Cyber News Calendar icon maj 4, 2026

ShinyHunters hotar läcka data från Udemy, Zara och 7-Eleven

ShinyHunters påstår sig ha stulit 1,4 miljoner poster från lärplattformen Udemy och hotar att släppa datan tillsammans med stulen information från Zara och 7-Eleven. Brottsgruppen…

Cyber News Calendar icon april 28, 2026

Ta nästa steg - säkra er verksamhet

Säkerställ att ert företag är skyddat mot cyberhot. Kontakta oss så berättar vi mer.

Kontakta oss