ShinyHunters behauptet, Daten von 9.000 Instructure-Kunden gestohlen zu haben, darunter Namen, E-Mail-Adressen, Studierendenausweise sowie Nachrichten zwischen Studierenden und Lehrenden. Die Gruppe forderte von jeder einzelnen Bildungseinrichtung Lösegeld und drohte, die Daten am 12. Mai zu veröffentlichen.

In seiner Mitteilung erklärte Instructure, die Vereinbarung decke alle betroffenen Kunden ab; einzelne Kunden müssten daher nicht versuchen, selbst mit dem unbefugten Akteur in Kontakt zu treten. Zwar gebe es im Umgang mit Cyberkriminellen nie vollständige Gewissheit, doch habe man jeden möglichen Schritt unternehmen wollen, um den Kunden zusätzliche Sicherheit zu geben.

Parallel kündigte das Heimatschutz-Komitee des Repräsentantenhauses eine Untersuchung an. Dessen Vorsitzender, der Abgeordnete Andrew Garbarino (Republikaner, New York), forderte den Vorstandschef von Instructure in einem Schreiben am Montag zu einer Unterrichtung über den Angriff bis zum 21. Mai auf. Das Komitee nehme sowohl den Schaden für Studierende und Bildungseinrichtungen als auch die weiterreichenden Folgen für den Umgang der Branche mit Cyberrisiken ernst.

Die Unterrichtung solle die Umstände beider Einbrüche, Art und Umfang der abgegriffenen Daten, die getroffenen Eindämmungs- und Benachrichtigungsmaßnahmen sowie die Zusammenarbeit mit Strafverfolgungsbehörden und der CISA behandeln. Garbarino verwies darauf, dass Instructure den Vorfall am 2. Mai zunächst als eingedämmt bezeichnet habe – bevor es zum zweiten Einbruch kam. Die Lücke zwischen der öffentlichen Darstellung und dem von den Angreifern behaupteten Ausmaß rechtfertige eine vollständige und transparente Aufklärung.

Dass sich ein Einbruch wenige Tage nach der ersten Offenlegung wiederholte und Instructure die zugrunde liegenden Schwachstellen in diesem Zeitraum offenbar nicht vollständig beseitigte, werfe ernste Fragen zur Fähigkeit des Unternehmens auf, auf Vorfälle zu reagieren. Das Schreiben Garbarinos wurde zuerst von Politico berichtet. Instructure äußerte sich auf Anfrage nicht dazu.

Vorstandschef Steve Daly entschuldigte sich am Wochenende in einem eigenen Schreiben an die Kunden und versicherte, Canvas sei derzeit sicher nutzbar. Mit der forensischen Analyse und der Härtung der Systeme seien Crowdstrike und ein weiteres Sicherheitsunternehmen beauftragt worden. Einrichtungen, die nicht bereits von Instructure kontaktiert wurden, waren laut Unternehmen nicht betroffen.

Das FBI teilte Recorded Future News mit, es habe Kenntnis von der Störung, und warnte Studierende davor, auf Kontaktversuche der Angreifer mit der Aufforderung zu direkten Zahlungen zu reagieren. Eine Nachricht von ShinyHunters bedeute nicht zwangsläufig, dass persönliche Daten kompromittiert seien; Betroffene sollten formelle Hinweise ihrer Bildungseinrichtung abwarten.

Am Montag wurde die Leak-Seite von ShinyHunters offline genommen; mehrere Fachleute verwiesen auf ein mögliches Vorgehen des FBI gegen die Gruppe. Garbarino nannte in seinem Schreiben frühere Angriffe der Gruppe auf Ticketmaster und AT&T sowie jüngere Vorfälle beim Bildungsverlag McGraw Hill und weiteren Unternehmen.