Zu den Universitäten, die ihre Studierenden vor den Störungen warnten, zählten unter anderem Baylor, die University of Texas, die University of Pennsylvania, Iowa State, Duke, die University of Oklahoma, die University of Florida, Northwestern, Princeton und Ohio State. Auch mehrere Schulbezirke aus dem Schulbereich (K-12) meldeten, von den Canvas-Ausfällen betroffen zu sein. Die Einrichtungen riefen Studierende dazu auf, sich vor Phishing-Nachrichten in Acht zu nehmen und die Plattform zu meiden, bis ihre Sicherheit bestätigt sei.
Ein Sprecher von Instructure bestätigte gegenüber Recorded Future News, dass Angreifer „Änderungen an den Seiten vorgenommen haben, die einigen angemeldeten Studierenden und Lehrenden angezeigt wurden". Aus Vorsicht habe man Canvas umgehend offline genommen, um den Zugriff einzudämmen und weiter zu ermitteln. Der unbefugte Akteur habe eine Schwachstelle im Zusammenhang mit den sogenannten Free-For-Teacher-Konten ausgenutzt. Als Konsequenz habe man entschieden, diese Konten vorübergehend abzuschalten – Canvas sei inzwischen wieder vollständig verfügbar.
In einer am Freitagmorgen veröffentlichten FAQ teilte das Unternehmen mit, das FBI, die Cybersicherheitsbehörde CISA sowie internationale Strafverfolgungsbehörden informiert zu haben. Das FBI lehnte eine Stellungnahme ab, CISA antwortete nicht.
Instructure brachte den Vorfall vom Donnerstag mit einem weiteren Angriff derselben Gruppe in der Vorwoche in Verbindung. Nachdem dieser Angriff am 29. April entdeckt worden war, entzog das Unternehmen den Angreifern den Zugang, leitete eine Untersuchung ein und zog externe Cyber-Experten hinzu. Betroffene Schulen seien am 5. Mai benachrichtigt worden. Das Unternehmen räumte ein, dass sich dieselben Angreifer noch am 7. Mai in den Systemen befunden und die am Donnerstag sichtbare Verunstaltung der Seiten vorgenommen hätten.
Beim ersten Angriff wurden den Angaben zufolge Daten wie Namen, E-Mail-Adressen, Studierenden-Identifikationsnummern und Nachrichten zwischen Canvas-Nutzern entwendet; beim Vorfall am Donnerstag seien hingegen keine neuen Daten abgeflossen. Zu einer möglichen Lösegeldzahlung äußerte sich Instructure auf Anfrage nicht. Am Donnerstagabend wurde das Unternehmen von der Leak-Seite von ShinyHunters entfernt. Externe Experten hätten „keine Hinweise darauf gefunden, dass der Bedrohungsakteur derzeit Zugriff auf die Plattform hat". ShinyHunters hatte in der Vorwoche behauptet, 3,6 TB an Daten erbeutet zu haben, darunter Informationen von mehr als 9.000 Schulen.
Adam Marrè, Sicherheitschef der Reaktionsfirma Arctic Wolf, erklärte, dass Gruppen wie ShinyHunters gezielt Plattformen wie Canvas angreifen, weil ein einziger Einbruch Tausende Organisationen zugleich treffe und so Druck und mögliche Erlöse maximiere. Das größte Risiko nach solchen Vorfällen sei „nicht der sofortige Identitätsdiebstahl, sondern Betrugsmaschen, die Wochen oder Monate später auftauchen und seriös wirken".
Der Angriff reiht sich in eine Serie aufsehenerregender Vorfälle ein, die ShinyHunters in den vergangenen zwei Jahren verursacht haben soll – darunter Angriffe auf Fluggesellschaften, Versicherer und Hochschulen wie Harvard und die University of Pennsylvania sowie in diesem Jahr auf das Sicherheitsunternehmen ADT, den Bildungsverlag McGraw Hill und den Spielekonzern Rockstar.