Bereits zu Wochenbeginn hatte Instructure einen Datenabfluss bestätigt. In einer Stellungnahme erklärte das Unternehmen, die bislang vorliegenden Erkenntnisse zeigten, dass zu den entwendeten Informationen „bestimmte identifizierende Angaben von Nutzern betroffener Einrichtungen wie Namen, E-Mail-Adressen und Schüler- beziehungsweise Studierendenkennnummern sowie Nachrichten zwischen Nutzern" gehörten. Hinweise auf sensiblere Daten wie Passwörter, Geburtsdaten, behördliche Identifikatoren oder Finanzinformationen habe man nicht gefunden. ShinyHunters setzte zunächst eine Zahlungsfrist, die später verschoben wurde.

In derselben Mitteilung hieß es noch, Canvas sei voll funktionsfähig und es gebe keine fortdauernden unbefugten Aktivitäten: „Zum jetzigen Zeitpunkt gehen wir davon aus, dass der Vorfall eingedämmt ist." Wenig später jedoch berichteten Studierende und Lehrkräfte dutzender Einrichtungen in sozialen Medien, dass eine Lösegeldforderung die gewohnte Canvas-Anmeldeseite ersetzt habe. Instructure nahm Canvas daraufhin offline und ersetzte das Portal durch den Hinweis auf eine angebliche „planmäßige Wartung".

Die Erpressernachricht forderte die betroffenen Schulen auf, eigene Lösegeldzahlungen auszuhandeln, um die Veröffentlichung ihrer Daten zu verhindern – unabhängig davon, ob Instructure selbst zahle. „ShinyHunters hat Instructure (erneut) kompromittiert", hieß es darin. „Statt uns zu kontaktieren, um das zu klären, haben sie uns ignoriert und ein paar ‚Sicherheits-Patches’ eingespielt." Eine mit den Ermittlungen vertraute Quelle, die nicht zu öffentlichen Äußerungen befugt war, sagte KrebsOnSecurity, mehrere Universitäten hätten die Gruppe bereits wegen einer Zahlung kontaktiert. Dieselbe Quelle wies darauf hin, dass Instructure und die Datenproben inzwischen von der Leak-Seite der Gruppe entfernt worden seien – ein Schritt, den solche Gruppen üblicherweise erst nach einer Zahlung oder einer Verhandlungszusage vornehmen.

Dipan Mann, Gründer und Geschäftsführer der Sicherheitsfirma Cloudskope, kritisierte Instructure scharf dafür, den Ausfall als „planmäßige Wartung" auszugeben. Laut Mann hatte ShinyHunters die Kompromittierung erstmals nachgewiesen, woraufhin Instructure-Sicherheitschef Steve Proud tags darauf erklärte, der Vorfall sei eingedämmt. Mann zufolge handelt es sich jedoch um mindestens den dritten Einbruch durch die Gruppe binnen acht Monaten.

In einem Blogbeitrag verwies Mann auf einen Vorfall im September 2025, bei dem ShinyHunters Tausende interne Dateien der University of Pennsylvania – Spenderdaten, interne Vermerke und weitere vertrauliche Unterlagen – über einen laut Daily Pennsylvanian teils durch Canvas vermittelten Zugangsweg veröffentlichte. „Penn war das benannte Opfer", schrieb Mann. „Instructure war der Mechanismus." Den Penn-Einbruch wertet er als Machbarkeitsnachweis einer länger angelegten Angriffsserie. Nach Angaben eines ShinyHunters-Sprechers gegenüber dem Daily Pennsylvanian zahlte Penn eine geforderte Million Dollar nicht; die Gruppe veröffentlichte daraufhin 461 Megabyte gestohlener Daten.

ShinyHunters gilt als umtriebige Gruppe, die sich auf Datendiebstahl und Erpressung spezialisiert hat und ihre Opfer meist über Voice-Phishing und Social Engineering kompromittiert, etwa durch das Vortäuschen von IT-Personal. Zuletzt erbeutete die Gruppe nach Angaben von BleepingComputer Daten von 5,5 Millionen ADT-Kunden, indem sie das Okta-Single-Sign-on-Konto eines Mitarbeiters übernahm. Charles Carmakal, Technikchef von Mandiant Consulting, erklärte, es liefen derzeit „mehrere parallele und voneinander getrennte ShinyHunters-Kampagnen". Wie es weitergeht, hängt laut Mann vor allem davon ab, ob die zahlenden Bildungseinrichtungen Druck ausüben oder den Vorfall still hinnehmen.