Die Hackergruppe ShinyHunters reklamierte den Angriff auf Canvas für sich, wie Luke Connolly, Bedrohungsanalyst beim Sicherheitsunternehmen Emsisoft, berichtete. Die Gruppe gab online an, nahezu 9.000 Schulen weltweit seien betroffen; dabei sei auf Milliarden privater Nachrichten und weitere Datensätze zugegriffen worden. Connolly beschreibt ShinyHunters als losen Zusammenschluss von Jugendlichen und jungen Erwachsenen in den USA und im Vereinigten Königreich, der auch mit anderen Angriffen in Verbindung gebracht wird, darunter die Ticketmaster-Tochter von Live Nation. ShinyHunters teilte online mit, sich zum Canvas-Vorfall nicht äußern zu wollen.

Wie die Studentin Elizabeth Polo von der University of Maryland schilderte, erschien während des Angriffs eine Nachricht der Gruppe auf den Bildschirmen: Einzelne Schulen wurden darin aufgefordert, direkt mit den Angreifern über eine Zahlung zu verhandeln, andernfalls werde mit der Veröffentlichung von Daten gedroht. Später ersetzte Canvas diese Nachricht durch den Hinweis auf eine planmäßige Wartung. Polo konnte kurz darauf wieder eine Aufgabe einreichen, sorgt sich nun aber um ihre persönlichen Daten.

Der Ausfall traf den akademischen Betrieb mitten in der Prüfungsphase. Mehrere Einrichtungen reagierten mit Verschiebungen: Die University of Texas at San Antonio verschob für den Ausfalltag angesetzte Prüfungen, an der University of Texas Permian Basin verzögerte sich die Notenvergabe um einen Tag. Rhongho Jang, Informatikprofessor an der Wayne State University in Detroit, war gerade dabei, Noten für 94 Studierende festzulegen, als das System ausfiel. Er bewahrt zwar Papierkopien der Klausuren auf, doch die über das Semester verteilten Aufgaben – die Hälfte der Endnote – liegen vollständig online vor. Wären diese nicht wiederherstellbar gewesen, hätte er allen die volle Punktzahl gegeben.

Mehrere Fachleute ordneten den Vorfall ein. Huseyin Can Yuceel, Forschungsleiter bei Picus Labs, sah im Zeitpunkt während der Abschlussprüfungen kein Zufallsprodukt: Es gehe darum, möglichst großen Schaden anzurichten, um Geld zu erpressen. Joseph Blankenship von Forrester verwies auf das „Konzentrationsrisiko“: Bereiche wie das Bildungswesen seien besonders verwundbar, wenn nur ein oder zwei zentrale Anbieter wesentliche Technik bereitstellten.

Allan Liska vom Sicherheitsunternehmen Recorded Future zufolge wirkte der Ausfall gezielt herbeigeführt und nicht wie eine technische Panne; Instructure habe versucht, das Ausmaß zu bestimmen und sicherzustellen, dass die Angreifer nicht mehr im System seien. Für eine Lösegeldzahlung gebe es bislang keine Anzeichen, und dafür sei es vermutlich auch noch zu früh, da sich solche Verhandlungen üblicherweise hinzögen. Laut Liska steckte ShinyHunters oder ein Ableger bereits hinter einem früheren, kleineren Einbruch bei Instructure.