Nach Angaben von Instructure wurde der Einbruch am 29. April entdeckt, nachdem Angreifer die Systeme des Unternehmens kompromittiert und Daten von Studierenden sowie Schulpersonal abgegriffen hatten, die Canvas nutzen. Öffentlich gemacht wurde der Vorfall am 3. Mai. Zu den betroffenen Informationen zählten Namen, E-Mail-Adressen, Identifikationsnummern von Studierenden und Nachrichten, die zwischen Studierenden und Lehrkräften über die Plattform ausgetauscht wurden. Passwörter, Finanzdaten oder behördliche Identifikationsnummern waren laut Unternehmen nicht enthalten.

Ebenfalls am 3. Mai bekannte sich die Erpressergruppe ShinyHunters zu dem Angriff. Gegenüber BleepingComputer gaben die Täter an, 280 Millionen Datensätze von 8.809 Hochschulen, Schulbezirken und Online-Bildungsplattformen gestohlen zu haben. Die Gruppe veröffentlichte eine Liste betroffener Einrichtungen, bei denen die Zahl der erbeuteten Datensätze von einigen Zehntausend bis zu mehreren Millionen pro Institution reichte.

In einem zweiten Angriff verunstaltete ShinyHunters die Anmeldeportale von Schulen und Universitäten in den gesamten USA und blendete dort Erpressernachrichten ein, mit denen das Unternehmen zu Verhandlungen gedrängt wurde. Die Störungen trafen Einrichtungen in mehreren Bundesstaaten während der Abschlussprüfungen und des Semesterendes; einige Hochschulen mussten Prüfungen absagen. Wie BleepingComputer später erfuhr, nutzten die Täter mehrere Cross-Site-Scripting-Schwachstellen (XSS), um authentifizierte Administrator-Sitzungen zu erlangen und die Anmeldeseiten zu verändern.

Dem Schreiben des Heimatschutzkomitees zufolge meldeten Schulen in Kalifornien, Florida, Georgia, Oklahoma, Oregon, Nevada, North Carolina, Tennessee, Utah, Virginia und Wisconsin Störungen im Zusammenhang mit dem Vorfall. Der Ausschuss verwies zudem auf Nachrichten der Angreifer, in denen diese erklärten, sie hätten Instructure erneut ins Visier genommen, weil das Unternehmen Verhandlungen verweigert habe.

Kurz nachdem ShinyHunters Instructure von seiner Leak-Seite entfernt hatte, teilte das Unternehmen mit, eine Vereinbarung mit der Gruppe erzielt zu haben, um die Veröffentlichung der Daten zu stoppen und deren Löschung sicherzustellen. Ob ein Lösegeld gezahlt wurde, ließ Instructure offen und beantwortete entsprechende Fragen von BleepingComputer per E-Mail nicht direkt. Erpressergruppen stimmen einer Löschung gestohlener Daten oder einem Verzicht auf Veröffentlichung jedoch nur selten ohne eine Form von Zahlung oder Übereinkunft zu.

Auch ShinyHunters aktualisierte die eigene Leak-Seite und erklärte, die Daten seien vernichtet worden; betroffene Schulen müssten nicht eigenständig Kontakt aufnehmen. „Wir haben dem nichts hinzuzufügen und äußern uns nicht zur jüngsten Situation bei dem LMS-Unternehmen. Wenn Sie eine betroffene Einrichtung sind: Wir verlangen kein Geld von Ihnen. Bitte stellen Sie alle Kontaktversuche ein, die Angelegenheit ist erledigt", heißt es in der Mitteilung. „Das Unternehmen und seine Kunden werden nicht weiter ins Visier genommen oder zur Zahlung aufgefordert. Die Daten existieren nicht mehr."

Der Ausschuss bat darum, dass Instructure oder ein hochrangiger Vertreter spätestens bis zum 21. Mai an einer Unterrichtung teilnimmt, um beide Einbrüche, die gestohlenen Daten, deren Eindämmung und die Benachrichtigung Betroffener sowie die Abstimmung mit Bundesbehörden zu erörtern.