Instructure, bekend van het leerbeheersysteem Canvas, heeft een datalek bevestigd waarbij persoonlijke gegevens van gebruikers zijn blootgesteld. De hackersgroep ShinyHunters, die eerder onder meer de grootschalige Odido-hack op haar naam schreef, heeft de verantwoordelijkheid opgeëist en stelt dat bijna 9.000 onderwijsinstellingen wereldwijd getroffen zijn. Volgens de groep zijn gegevens van 275 miljoen personen gestolen, waaronder ook privéberichten tussen studenten en docenten.

Het incident werd vrijdag door Instructure bekendgemaakt, waarna het bedrijf een dag later bevestigde dat er persoonlijke informatie was gelekt. Volgens de verklaring betreft het gelekte data namen, e-mailadressen, student-ID-nummers en berichten tussen gebruikers. Wachtwoorden, geboortedata, overheidsidentificatiegegevens en financiële gegevens zouden niet zijn betrokken bij het lek. Instructure heeft als reactie patches uitgerold, de monitoring verhoogd en applicatiesleutels geroteerd. Klanten dienen de API-toegang opnieuw te autoriseren om nieuwe sleutels te verkrijgen.

ShinyHunters heeft Instructure op haar leksite vermeld en claimt meer dan 240 miljoen records te bezitten die betrekking hebben op studenten, docenten en personeel van bijna 15.000 instellingen in Noord-Amerika, Europa en Oost-Azië/Oceanië. Daarnaast beweert de groep dat ook de Salesforce-omgeving van Instructure is gehackt. De groep, bekend van eerdere aanvallen op onder andere Google, AT&T, Odido en Air France-KLM, gebruikte daarbij eveneens Salesforce-omgevingen. In september 2025 claimde ShinyHunters 1,5 miljard Salesforce-records van 760 bedrijven te hebben buitgemaakt. Ook Red Hat is recent op hun leksite verschenen.

Securityonderzoekers omschrijven het platform van ShinyHunters als een vorm van ‘extortion-as-a-service’. De omvang van het datalek kon door BleepingComputer niet onafhankelijk worden geverifieerd. Instructure heeft geen commentaar gegeven op vragen over het tijdstip van het datalek of mogelijke afpersing. Het onderzoek loopt nog en wordt ondersteund door externe security-experts en overheidsinstanties, aldus het bedrijf.