Der Angriff ereignete sich am 7. Mai 2026 – ein denkbar ungünstiger Zeitpunkt, da viele Schulen und Hochschulen gerade Abschlussprüfungen durchführten. Die Hackergruppe ShinyHunters, die sich auf Datendiebstahl und Erpressung spezialisiert, hatte bereits am 1. Mai 2026 zum ersten Mal öffentlich gemacht, in Canvas-Systeme eingedrungen zu sein. Instructure-Chef Steve Proud erklärte daraufhin am 2. Mai die Sache für „contained” – ein Irrglaube, wie sich schnell zeigen sollte.
Die gestohlenen Daten umfassen laut Instructure Names, E-Mail-Adressen, Studentennummern und Nachrichten zwischen Nutzern. Das Unternehmen betont, dass keine Passwörter, Geburtsdaten oder Finanzinformationen abgeflossen seien. ShinyHunters hingegen behauptet, mehrere Milliarden private Nachrichten zwischen Schülern und Lehrern erbeutet zu haben. Instructure reagierte auf die Defacement-Attacke mit einem sofortigen Offline-Schalten der Plattform und zeigte Nutzern stattdessen eine Meldung über geplante Wartungsarbeiten an – eine PR-Entscheidung, die von Sicherheitsexperten kritisiert wird.
Securityforcher Dipan Mann von Cloudskope weist auf ein besorgniserregendes Muster hin: Dies sei bereits das dritte Mal in acht Monaten, dass ShinyHunters Instructure kompromittiert habe. Im September 2025 war die Universität von Pennsylvania über Canvas-Zugang attackiert worden; 461 Megabyte Daten wurden geleakt. ShinyHunters forderte zunächst eine Million Dollar Lösegeld. Nach Nichtbezahlung veröffentlichte die Gruppe Spendendaten und interne Memos.
Laut Quellen, die mit der Untersuchung vertraut sind, haben mehrere amerikanische Universitäten bereits mit ShinyHunters verhandelt. Bemerkenswert: Die Gruppe hat Instructure zwischenzeitlich von ihrer Leak-Seite entfernt – typischerweise ein Indikator, dass Zahlungen oder Verhandlungen laufen.
ShinyHunters ist bekannt dafür, über Social Engineering und Voice Phishing (Impersonation von IT-Personal) ins Ziel-Netzwerk zu gelangen. Zuletzt attackierte die Gruppe über einen gehackten Okta-Account den Sicherheitsdienstleister ADT und kompromittierte 5,5 Millionen Kundendaten. Auch Rockstar Games, McGraw Hill, 7-Eleven und der Kreuzfahrtkonzern Carnival stehen auf der Liste der Opfer.
Für deutsche Bildungseinrichtungen gilt: Falls Canvas hier im Einsatz ist und deutsche Nutzerdaten betroffen sind, müssen Schulträgern und Universitäten ihre Landesdatenschutzbehörden informieren. Verstöße gegen die DSGVO können mit Bußgeldern bis zu vier Prozent des Jahresumsatzes geahndet werden. Der Ruf Instructures ist bereits beschädigt – Experten fragen, ob das Unternehmen überhaupt noch vertrauenswürdig sein kann.