Instructure machte den Angriff am 30. April öffentlich und führte ihn auf Kriminelle zurück. Am 1. Mai erklärte das Unternehmen, es habe externe Forensik-Experten mit der Untersuchung beauftragt. „Wir arbeiten mit Hochdruck daran, das Ausmaß des Vorfalls zu verstehen, und unternehmen aktiv Schritte, um seine Auswirkungen zu begrenzen", teilte das Unternehmen mit.
Einen Tag später meldete Instructure, der Angriff sei eingedämmt und bestimmte Anwendungsschlüssel seien neu ausgestellt worden. Nutzer mussten daraufhin den Zugriff auf betroffene Werkzeuge erneut autorisieren. Zusätzlich entzog das Unternehmen privilegierte Zugangsdaten und Zugriffstoken, spielte Sicherheitskorrekturen ein und richtete eine zusätzliche Überwachung ein.
Nach Darstellung von Instructure erlangten die Angreifer Zugang zu persönlichen Informationen wie Namen, E-Mail-Adressen und Studierenden-Identifikationsnummern. Auch Nachrichten von Nutzern wurden kompromittiert. „Zum gegenwärtigen Zeitpunkt haben wir keine Hinweise darauf gefunden, dass Passwörter, Geburtsdaten, behördliche Kennungen oder Finanzdaten betroffen waren", erklärte das Unternehmen.
Wie viele Einrichtungen und Nutzer betroffen sind, gab Instructure nicht bekannt; auch zu den Tätern äußerte sich das Unternehmen nicht.
Am 3. Mai setzte die Erpressergruppe ShinyHunters Instructure auf ihre Tor-basierte Leak-Seite und behauptete, 3,65 Terabyte an Daten gestohlen zu haben. Die Gruppe gibt an, die Informationen stammten von 275 Millionen Schülern, Studierenden, Lehrkräften und weiteren Personen an annähernd 9.000 Bildungseinrichtungen weltweit. Zudem sei die Salesforce-Instanz von Instructure kompromittiert worden.
SecurityWeek hat Instructure um weitere Auskünfte zu dem Angriff gebeten und will den Bericht aktualisieren, sollte das Unternehmen antworten.