Het Amerikaanse onderwijstechnologiebedrijf Instructure, het moederbedrijf van Canvas, zei dat het een ‘overeenkomst’ heeft bereikt met een gedecentraliseerde cybercriminaliteitsafpersingsgroep nadat deze zijn netwerk had geschonden en had gedreigd gestolen informatie van duizenden scholen en universiteiten te lekken.
In een update die maandag werd gedeeld, zei het in Utah gevestigde bedrijf dat het ‘een overeenkomst had bereikt met de ongeautoriseerde actor die bij dit incident betrokken was’, daarbij verwijzend naar ‘bezorgdheid over de mogelijke publicatie van gegevens’.
Bij het nemen van de controversiële beslissing om losgeld te betalen om een lek te voorkomen, zei het bedrijf dat de overeenkomst al zijn getroffen klanten dekt en dat de gestolen gegevens aan het bedrijf werden teruggestuurd, samen met een digitale bevestiging van de gegevensvernietiging. Het zei ook dat het is geïnformeerd dat geen van de klanten van het bedrijf afzonderlijk zal worden afgeperst als gevolg van de hack.
“Hoewel er nooit volledige zekerheid bestaat bij het omgaan met cybercriminelen, vinden wij het belangrijk om elke stap binnen onze controle te zetten om klanten, voor zover mogelijk, extra gemoedsrust te geven”, aldus Instructure.
Het zei ook dat het samenwerkt met deskundige leveranciers om zijn forensische analyse te ondersteunen, zijn cyberbeveiligingspositie te verbeteren en een uitgebreide beoordeling van de betrokken gegevens uit te voeren.
De onthulling komt op het moment dat de afpersingsploeg van ShinyHunters eind vorige maand een digitale aanval uitvoerde op Canvas, een populair webgebaseerd leerbeheersysteem, resulterend in de diefstal van 3,65 TB aan gegevens. Het incident had gevolgen voor bijna 9.000 organisaties.
Hoewel aanvankelijk werd aangenomen dat de inbreuk onder controle was, werd op 7 mei 2026 een tweede golf van ongeoorloofde activiteiten gedetecteerd die verband hielden met hetzelfde incident, waardoor de Canvas-inlogportals werden beschadigd met afpersingsberichten bij ongeveer 330 instellingen en Instructure een deadline kreeg van 12 mei 2026 om te onderhandelen over losgeld of het risico te lopen op een datalek.
De aanvallers zouden een niet-gespecificeerde kwetsbaarheid “met betrekking tot ondersteuningstickets” in de Free-for-Teacher-omgeving hebben bewapend om initiële toegang te verkrijgen en ongeveer 275 miljoen records met gebruikersnamen, e-mailadressen, cursusnamen, inschrijvingsinformatie en berichten over te hevelen. Instructure heeft benadrukt dat de cursusinhoud, inzendingen en inloggegevens niet in gevaar zijn gebracht.
In de nasleep van de inbreuk heeft Instructure Free-For-Teacher-accounts tijdelijk gesloten. Het bedrijf maakte de aard van de kwetsbaarheid niet bekend, maar zei dat het geprivilegieerde inloggegevens en toegangstokens voor getroffen systemen had ingetrokken, interne sleutels had gerouleerd, de routes voor het maken van tokens had beperkt en aanvullende beveiligingsmaatregelen had geïmplementeerd.
“De geëxfiltreerde gegevens bieden bedreigingsactoren voldoende persoonlijke context om gerichte phishing-campagnes uit te voeren tegen zowel personeel, studenten als ouders”, aldus Halcyon.
“Gelekte gegevens kunnen worden gebruikt om zich voor te doen als schoolbestuurders, IT-ondersteuningskantoren of financiële hulpkantoren bij vervolgaanvallen. Er moet rekening worden gehouden met studenten, ouders en personeel van getroffen instellingen, en instellingen moeten onmiddellijk phishing-adviezen en directe communicatie uitbrengen.”
