april 8, 2026 eBuilder skriver avtal kring MDR/SOC med en hotellkedja.
mars 13, 2026 eBuilder skriver avtal om SOC-tjänst med mellansvensk kommun.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilders Complorer för cybersäkerhetsutbildning.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilder som leverantör för Penetrationstestning.
mars 2, 2026 En kommunikations-/brandingbyrå väljer eBuilders Complorer för cybersäkerhetsutbildning.
februari 13, 2026 eBuilder Security skriver avtal om kontinuerlig pentesting med ett svenskt AI-bolag.
februari 11, 2026 eBuilder Security säljer Complorer säkerhetsutbildning till en a-kassa.
januari 30, 2026 eBuilder skriver 3års-avtal med en svensk kommun för MDR/SOC.
Company News
mobile-menu-icon
Dataintrång

ShinyHunters stjäl studentdata från 275 miljoner Canvas-användare

Blog Reading Time 5 Lästid / maj 6, 2026
ShinyHunters Steals Student Data From 275 Million Canvas Users

Instructure bekräftar att cyberbrottslingar har stulit personuppgifter från 275 miljoner användare av företagets Canvas-lärplattform. Utpressningsgruppen ShinyHunters har tagit på sig ansvaret för angreppet, som drabbade närmare 9 000 skolor världen över och exponerade namn,e-postadresser, student-ID-nummer och meddelanden mellan studenter och lärare.

Intrånget upptäcktes först den 30 april 2026, när Instructure rapporterade störningar som påverkade verktyg beroende av API-nycklar. Den 3 maj publicerade ShinyHunters företaget på sin dataläckagesida med ett lösenkrav och hotet ”Pay or Leak”. Enligt SecurityWeek uppger gruppen att de stulit 3,65 terabyte data från 275 miljoner studenter, lärare och andra personer vid cirka 9 000 utbildningsinstitutioner världen över.

Instructure uppger att det inte finns några tecken på att lösenord, födelsedatum, statliga identifierare eller finansiell information komprometterats. Den exponerade datan innehåller dock tillräckligt med personuppgifter för att möjliggöra riktade phishing-kampanjer mot alla som har använt Canvas de senaste åren.

Gruppen som gjorde 2026 till ett allvarligt år för datasäkerhet

ShinyHunters har etablerat sig som en av de mest produktiva grupperna inom dataintrång. Sedan 202 har de angripit över 400 företag, men 2026 innebär en tydlig eskalering som bör oroa säkerhetsteam. Redan i februari bröt de sig in i nederländska telekomoperatören Odido och exponerade 6 miljoner kundposter. I mars hävdade de att de stulit 350 GB data från Europeiska kommissionen. TechCrunch rapporterar att den senaste dataläckan från Instructure innehåller upp till 231 miljoner unika e-postadresser.

Canvas-intrånget är inte heller ShinyHunters första attack mot Instructure. Enligt flera säkerhetsforskare är detta det andra intrång på åtta månader. Det tidigare intrånget i september 2025 riktades mot företagets Salesforce-miljö genom social manipulation. Det mönstret väcker frågor om huruvida den första incidenten åtgärdades fullt ut.

Det som gör ShinyHunters särskilt farliga är deras systematiska tillvägagångssätt vid angrepp mot molnplattformar. Istället för att använda avancerad skadlig kod eller så kallade zero-day-sårbarheter utnyttjar de felkonfigurationer i vanligt förekommande företagsapplikationer som Salesforce, Mixpanel och nu Canvas. Gruppens framgångar tyder på att dessa svagheter är betydligt vanligare än vad de flesta organisationer inser.

API-nycklar förblir den svagaste länken i EdTech-säkerhet

De tekniska detaljerna kring hur ShinyHunters bröt sig in i Canvas har inte helt avslöjats, men angreppsmönstret följer gruppens tidigare metodik. Instructure bekräftade att den initiala störningen påverkade ”verktyg som förlitar sig på API-nycklar”, alltså de åtkomsttoken som tillåter olika mjukvaruapplikationer att kommunicera med Canvas.

Detta ligger i linje med ShinyHunters bredare strategi. Under 2025 och 2026 har gruppen vid upprepade tillfällen utnyttjat stulna API-referenser och OAuth-token för att få obehörig åtkomst till molntjänster. I tidigare attacker mot Salesforce Experience Cloud använde de modifierade versioner av legitima verktyg för att extrahera data via exponerade gränssnitt.

Utbildningsektorn har blivit ett attraktivt mål, eftersom skolor ofta saknar samma säkerhetsresurser som exempelvis finans- eller vårdsektorn. Canvas används av tusentals institutioner globalt, inklusive universitet över hela Europa. Plattformens omfattning innebär att ett enda lyckat intrång kan påverka användare i flera länder samtidigt.

Det är också därför MDR är så viktigt. Managed Detection and Response hjälper organisationer att upptäcka misstänkt åtkomst, ovanlig kontoaktivitet, onormala dataförflyttningar och tidiga tecken på intrång innan en incident hinner växa. I dagens komplexa IT-miljöer, där molntjänster och tredjepartsintegrationer är tätt sammankopplade, räcker det inte med enbart förebyggande skydd. Kontinuerlig övervakning och snabb incidenthantering är avgörande för att begränsa skador.

Vad Canvas-användare bör göra nu

Alla med ett Canvas-konto bör anta att deras uppgifter kan ha exponerats och agera därefter. Byt lösenord omedelbart, även om du inte har fått någon officiell information från din skola. Om du använder samma lösenord på andra tjänster bör även dessa ändras.

Den stulna informationen- såsom namn, e-postadresser, student-ID:n – kan användas för mycket trovärdiga phishing-försök. Var därför extra uppmärksam på mejl eller meddelanden som utger sig för att komma från din skola eller från Canvas, även om de verkar legitima.

För utbildningsinstitutioner som använder Canvas bör incidenten leda till en omedelbar genomgång av tredjepartsintegrationer och API-behörigheter. Säkerställ att endast nödvändiga applikationer har åtkomst och att behörigheterna är korrekt konfigurerade. ShinyHunters utnyttjar återkommande förtroenderelationer mellan molntjänster för att röra sig mellan sammankopplade system.

Referenser

  1. Instructure confirms data breach, ShinyHunters claims attack
  2. Edtech Firm Instructure Discloses Data Breach
  3. Hackers steal students’ data during breach at education tech giant Instructure
  4. Canvas breach? Hackers threaten to leak messages of 275M users
  5. Canvas Breach May Put 275M Users, 9,000 Schools at Risk

This post is also available in: English

Av: Per Häggdahl

Jobbar som CSO/CISO, har arbetat med leverans av säkra system till banker, riksbanker, börser och värdepapperscentraler i över 20 år.

Related News

Kritisk sårbarhet i cPanel utnyttjades i månader före patch

En kritisk sårbarhet för autentiseringsförbikoppling i cPanel har utnyttjats aktivt sedan februari, två månader innan leverantören släppte en patch. CVE-2026-41940 har CVSS-poäng 9,8 och låter…

Cyber News Calendar icon maj 5, 2026

CISA listar nio år gammal Linux-bugg efter aktiva angrepp

CISA lade på fredagen till CVE-2026-31431 i sin katalog över Known Exploited Vulnerabilities, vilket bekräftar att en nio år gammal sårbarhet i Linux-kärnan utnyttjas i…

Cyber News Calendar icon maj 4, 2026

ShinyHunters hotar läcka data från Udemy, Zara och 7-Eleven

ShinyHunters påstår sig ha stulit 1,4 miljoner poster från lärplattformen Udemy och hotar att släppa datan tillsammans med stulen information från Zara och 7-Eleven. Brottsgruppen…

Cyber News Calendar icon april 28, 2026
French Identity Document Agency Hit by Cyberattack, 19 Million Records at Risk

Fransk myndighet hackad – upp till 19 miljoner uppgifter kan vara exponerade

Cyber News Calendar icon april 21, 2026

Booking.com-intrång exponerar miljoner när WhatsApp-bedragare slår till

Booking.com bekräftade på måndagen att hackare fick tillgång till kunders bokningsdata i ett intrång som verkar ha pågått oupptäckt sedan början av april. Reseplattformen meddelade…

Cyber News Calendar icon april 16, 2026

Ta nästa steg - säkra er verksamhet

Säkerställ att ert företag är skyddat mot cyberhot. Kontakta oss så berättar vi mer.

Kontakta oss