Op 6 en 7 mei 2026 werden gebruikers van het Canvas learning management system (LMS) geconfronteerd met een aangepaste webpagina in plaats van de gebruikelijke inlogpagina. Deze pagina toonde een waarschuwing van de criminele hacker- en afpersingsgroep ShinyHunters, die melding maakte van een inbreuk bij Instructure, het bedrijf achter Canvas. De hackers stelden een ultimatum tot 12 mei 2026 om contact op te nemen en een losgeld te onderhandelen om te voorkomen dat gestolen data openbaar zou worden gemaakt.

ShinyHunters claimde al op 1 mei 2026 de aanval op Instructure/Canvas te hebben uitgevoerd. Deze aanval trof bijna 9.000 onderwijsinstellingen wereldwijd en leidde tot het lekken van gevoelige gegevens van 275 miljoen studenten, docenten en medewerkers. Er werden namen, e-mailadressen, studentidentificaties en privécommunicaties buitgemaakt, in totaal maar liefst 3,65 terabyte aan data. De timing van de aanval was bijzonder schadelijk omdat deze plaatsvond tijdens de eindexamens, wat leidde tot grootschalige operationele verstoringen en tijdelijke blokkades van toegang tot studie- en samenwerkingssystemen op universiteiten en hogescholen wereldwijd.

De ShinyHunters-groep, genoemd naar een zeldzame Pokémon-variant, is sinds 2020 verantwoordelijk voor het compromitteren van 104 slachtoffers in 14 landen, waaronder grote namen als Microsoft, Google, Cisco Systems, Disney/Hulu en meerdere onderwijsinstellingen. Ook Instructure werd eerder al getroffen. Deze aanval illustreert hoe gecentraliseerde digitale ecosystemen, afhankelijkheden van derden en moderne afpersingspraktijken het cyberrisico voor organisaties aanzienlijk veranderen.

Technische details over de aanval zijn schaars, maar op Instructure’s Security Incident & Update wordt gemeld dat een kwetsbaarheid in het supportticket-systeem van de gratis Canvas-variant voor docenten werd misbruikt. Als reactie heeft Canvas deze dienst tijdelijk uitgeschakeld om een volledige veiligheidsreview uit te voeren. Deze gratis versie stelt docenten in staat om interactieve lessen te creëren en studenten te beheren, ook als hun onderwijsinstelling Canvas niet gebruikt. Aanvallers richten zich vaak op omgevingen met lagere beveiliging, zoals ondersteuningsportalen en externe services, omdat deze doorgaans minder streng worden bewaakt dan primaire productieomgevingen.