Der Sicherheitsvorfall offenbarte sich in zwei Wellen: Im späten April 2026 gelang es den Angreifern, über eine bislang unspezifizierte Schwachstelle in der Free-for-Teacher-Umgebung von Canvas Zugang zum Netzwerk zu erlangen. Die Lücke betraf das Support-Ticket-System und ermöglichte den Diebstahl massiver Datenmengen. Als die Universität die erste Verletzung zu entdecken glaubte, folgte am 7. Mai 2026 ein zweiter Angriff: ShinyHunters defacte etwa 330 Canvas-Login-Portale und setzte Instructure eine Frist bis 12. Mai zur Lösegeldverhandlung.
Das Unternehmen entschied sich letztlich für eine kontroverse Strategie: Es zahlte das Lösegeld und erklärte öffentlich, damit eine “Vereinbarung” erreicht zu haben. Nach eigenen Angaben seien die gestohlenen Daten zurückgegeben und zerstört worden, zudem habe man digitale Bestätigung der Datenlöschung erhalten. Instructure betont, dass Kursinhalte, Abgaben und Zugangsdaten nicht kompromittiert wurden – doch die 275 Millionen erbeuteten Datensätze reichen für massive Phishing-Kampagnen aus.
Sicherheitsexperten warnen vor den Folgen: Mit den persönlichen Informationen können Betrüger gezielt Schulleiter, IT-Unterstützung oder Finanzbüros impersonieren. Schüler, Eltern und Mitarbeiter sind nun akuten Risiken ausgesetzt. Betroffene Institutionen sollten unmittelbar Phishing-Warnungen ausstellen und ihre Nutzer direkt benachrichtigen.
Zum Schutz ergriff Instructure mehrere Maßnahmen: Das Unternehmen sperrte temporär Free-for-Teacher-Konten, widerrief privilegierte Anmeldedaten und Zugangstoken, rotierte interne Schlüssel und implementierte zusätzliche Sicherheitskontrollen. Die genaue Natur der Schwachstelle bleibt jedoch unveröffentlicht.
Die Ransom-Zahlung unterstreicht ein wachsendes Dilemma: Unternehmen sehen sich gezwungen, mit Cyberkriminellen zu verhandeln, um Datenleaks zu verhindern. Für deutsche Institutionen, die Canvas nutzen, ist sofortige Aufmerksamkeit geboten – mit Blick auf DSGVO-Meldepflichten und Mitarbeiterinformationen.