Instructure legte den ersten Angriff am 1. Mai offen und räumte ein, dass Angreifer „bestimmte identifizierende Informationen von Nutzern" erlangt hätten, darunter Namen, E-Mail-Adressen, Studierendennummern und private Nachrichten. ShinyHunters behauptete dagegen, mehr als 3 TB sensibler Daten von Instructure-Nutzern zu besitzen, die mehr als 9.000 Bildungseinrichtungen repräsentierten.

Das Unternehmen nahm Canvas vorübergehend vom Netz, erklärte den Vorfall am 6. Mai für „behoben" und das System für „voll funktionsfähig". Doch am Folgetag kehrte ShinyHunters zurück, kompromittierte Canvas erneut und platzierte eine Lösegeldforderung auf den Login-Seiten der Plattform.

Auch der US-Senatsausschuss für Gesundheit, Bildung, Arbeit und Renten richtete ein Schreiben an Daly und teilte mit, er untersuche die Angriffe. Der Ausschuss stellte zahlreiche Fragen, unter anderem zu den betroffenen Datenarten und zu den seither getroffenen Sicherheitsverbesserungen. Besonders hakte das Gremium bei Instructures Mitteilung vom 11. Mai nach, in der das Unternehmen erklärte, es habe „eine Vereinbarung getroffen" mit dem Täter.

In dieser Mitteilung erklärte Instructure, man sei informiert worden, dass kein Kunde infolge des Vorfalls erpresst werde — weder öffentlich noch anderweitig. Die gestohlenen Daten seien „zurückgegeben" worden, und die Angreifer hätten eine digitale Bestätigung ihrer Vernichtung geliefert. Die Vereinbarung umfasse alle betroffenen Kunden; eine eigene Kontaktaufnahme einzelner Kunden mit dem Täter sei nicht nötig.

Eine Lösegeldzahlung räumte das Unternehmen nicht ein, doch dies ist das wahrscheinlichste Szenario: ShinyHunters entfernte den Eintrag von Instructure aus seiner Leak-Seite — ein Schritt, den Erpressergruppen üblicherweise zahlenden Opfern vorbehalten. Am 13. Mai erklärte ShinyHunters zudem, man habe der „jüngsten Lage beim LMS-Unternehmen" nichts hinzuzufügen.

Das Schreiben des Senatsausschusses thematisierte auch einen „früheren Sicherheitsvorfall im September 2025". Dieser ging auf eine Kompromittierung der Salesforce-Instanz zurück, die am 21. September 2025 offengelegt wurde. Damals listete das Kollektiv Scattered Lapsus$ Hunters — offenbar aus Mitgliedern von Scattered Spider, Lapsus$ und ShinyHunters zusammengesetzt — Instructure auf seiner Leak-Seite, als Teil einer Serie von Salesforce-Angriffen, die auch Unternehmen wie Chanel und Qantas Airways traf. Verantwortlich war laut Forschern der Google Threat Intelligence Group jedoch der Akteur UNC6040, der mit ShinyHunters in Verbindung steht.

Ob Daten aus dem Salesforce-Angriff für die jüngste Attacke genutzt wurden, ist unklar; Forscher betonen aber, dass Instructure offenkundig als wiederkehrendes Ziel markiert war. Nach dem Salesforce-Vorfall, der laut Instructure auf einen Social-Engineering-Angriff zurückging, erklärte das Unternehmen, man habe rasch zur Eindämmung gehandelt und mit externen Experten gründlich untersucht sowie zusätzliche Sicherheitsmaßnahmen umgesetzt. Auf eine Anfrage von Dark Reading, ob beide Vorfälle zusammenhängen, antwortete Instructure bis Redaktionsschluss nicht.

Abbas Kudrati, Chief Identity Security Advisor bei Silverfort, schrieb in einem Blogbeitrag, die jüngste Aktivität von ShinyHunters sei „grundlegend anders" als der September-Angriff, der auf die Salesforce-Instanz beschränkt war. Die Gruppe betrachte Instructure als hochwertiges, lohnendes Ziel — jede Einrichtung, die auf Canvas setze, müsse mit erneuten Angriffen rechnen.

Roy Akerman, Vice President für Identitätssicherheitsstrategie bei Silverfort, sagte gegenüber Dark Reading, es sei typisch, dass Akteure wie ShinyHunters bei einer Kompromittierung möglichst viele Daten sammeln und für Folgeangriffe nutzen. Die größere Frage sei jedoch, was Instructure unternahm, nachdem es bösartige Aktivität in seiner Umgebung entdeckt hatte. „Für mich besteht die Geschichte darin, dass Angreifer hartnäckig sind", so Akerman. Wer angegriffen werde, müsse in einen anderen Modus wechseln und davon ausgehen, dass sich die Angreifer eines Tages festsetzen.