• Instructure, selskapet bak Canvas, ble utsatt for et massivt cyberangrep 1. mai 2026.
  • Hackergruppen ShinyHunters stjal 3,65 terabyte med data fra 8.800 utdanningsinstitusjoner globalt, inkludert 37 i Norge.
  • Instructure betalte løsepenger 11. mai og fikk bekreftelse på at dataene ble slettet.
  • Angrepet var tredje gang Canvas-plattformen ble hacket.

Vis mer

InstructureInstructureSelskapet som driver læringsplattformen Canvas. kunngjorde 1. mai 2026 at de har vært utsatt for et cyberangrep. 37 utdanningsinstitusjoner i Norge ble rammet av angrepet.

Fredag ble studenter og ansatte som forsøkte å logge inn på Canvas møtt av en melding fra hackergruppen ShinyHuntersShinyHuntersShinyHunters er en hackergruppe som først ble kjent rundt 2019–2020. Gruppen er kjent for omfattende datainnbrudd der store mengder sensitiv brukerdata stjeles fra selskaper, før informasjonen enten selges videre eller brukes til å presse fram løsepenger..

Plattformen hadde blitt hacket på nytt.

«Instructure har frem til utgangen av 12. mai 2026 på å kontakte oss før alt blir lekket», skrev gruppen i meldingen.

11. mai betalte Instructure, selskapet bak Canvas, hackerne.

– Det er som å betale en terroristgruppe, sier Michael McMillan sikkerhetskonsulent i Bustbyte AS.

ShinyHunters sendte denne meldingen til noen studenter og lærere via Canvas den 7. mai. Foto: Skjermdump fra ABC NewsShinyHunters sendte denne meldingen til noen studenter og lærere via Canvas den 7. mai. Foto: Skjermdump fra ABC NewsHevder dataen er slettet

Samtidig som betalingen ble bekreftet, beklaget Instructure for manglende åpenhet rundt hendelsen.

Hvor mye selskapet betalte hackerne er ikke kjent.

Ifølge Instructure ble de stjålne dataene returnert til selskapet, samtidig som de mottok digital bekreftelse på at dataene var slettet.

Selskapet opplyste også at de har fått forsikringer om at ingen av kundene deres vil bli utsatt for utpressing som følge av hendelsen, hverken offentlig eller privat.

– Skaden er gjort

– Å betale løsepenger etter et slikt datainnbrudd er problematisk. Det skaper en presedens: Hvis noen finner en sårbarhet hos oss, er vi villige til å betale oss ut av det, sier McMillan.

Han understreker samtidig at det er umulig å vite sikkert om de stjålne dataene faktisk er slettet.

– Skaden er allerede gjort. Så fort data er på avveie, finnes det ingen vei tilbake, selv om informasjonen ikke blir lekket offentlig. Enkelte opplysninger kan fortsatt bli solgt videre uten at Instructure vet om det, sier han.

I 2018 hacket McMillan og flere av klassekameratene hans NTNUs læringsplattform Blackboard. Foto: PrivatI 2018 hacket McMillan og flere av klassekameratene hans NTNUs læringsplattform Blackboard. Foto: Privat

Les også: Studenter hacket NTNU – kunne endre egne karakterer

McMillan fikk selv oppmerksomhet da han som masterstudent ved NTNU var med på å hacke læringsplattformen Blackboard i 2018. Han mener hendelser som Canvas-angrepet vil bli langt vanligere i årene som kommer.

– Det vi måtte gjøre manuelt i 2018, kan kunstig intelligens gjøre for deg i dag. Man trenger ikke lenger spisskompetanse innen IT-sikkerhet.

Sikkerhetseksperten mener universiteter bør samarbeide mer med såkalte «etiske hackere», slik NTNU gjorde med ham og klassekameratene hans i 2018, fremfor å straffe dem.

– Ingen systemer blir helt sikre. Folk som varsler om sikkerhetshull med gode intensjoner kan bidra til å oppdage feil før kriminelle gjør det. Kriminelle aktører bør man derimot ikke forhandle med, sier han.

– Overraskende

– Instructure skal ha mottatt bevis på at data er slettet, og sier at angriperne ikke lenger truer med å legge ut det stjålne datamaterialet på nett, skriver Sikt, kunnskapssektorens IT-tjenesteleverandør, på sin nettside.

Sikt opplyser også at de har hatt tett dialog med Instructure gjennom hele hendelsesforløpet, men at den siste utviklingen i saken kom overraskende på dem.

– Vi har ikke kjent til at det har pågått forhandlinger mellom Instructure og angriperne før meldingen kom fra leverandør i dag tidlig. Vi har heller ikke ønsket eller oppfordret Instructure til å forhandle med angriperne, skriver de.

Hacket tre ganger

Hackergruppen hevdet å ha hentet ut 3,65 terabyte med data fra Canvas-plattformen. Ifølge gruppen omfatter datalekkasjen rundt 8.800 utdanningsinstitusjoner internasjonalt.

Etter det første angrepet opplyste Instructure at de hadde stengt hackerne ute fra systemene, gjennomført tiltak for å rette sårbarhetene og forsøkt å hindre nye angrep. Canvas-plattformen ble deretter satt tilbake i drift.

Men bare én uke senere hevdet ShinyHunters at de hadde angrepet Canvas på nytt.

Selskapet hadde også vært utsatt for et lignende cyberangrep åtte måneder tidligere.