Het educatieve technologiebedrijf Instructure heeft een datalek bevestigd die zijn systemen treft, nadat de cybercrimegroep ShinyHunters de verantwoordelijkheid opeist en dreigde gestolen gegevens te lekken.
Het bedrijf, vooral bekend om zijn Canvas-leermanagementsysteem dat wereldwijd door scholen en universiteiten wordt gebruikt, maakte bekend dat aanvallers ongeautoriseerde toegang kregen tot interne systemen en gebruikersgegevens hadden geëxfiltreerd.
Volgens Instructure omvat de gecompromitteerde informatie namen, e-mailadressen en studenten-ID-nummers, samen met door gebruikers gegenereerde inhoud zoals berichten die binnen het platform worden uitgewisseld. Het bedrijf verklaarde geen bewijs te hebben gevonden dat wachtwoorden, financiële gegevens of door de overheid uitgegeven identificatiecodes zijn blootgesteld.
De inbreuk veroorzaakte dienstonderbrekingen, waardoor Instructure toegangstokens introk, getroffen systemen uitschakelde en extra monitoring- en beveiligingsmaatregelen inzette tijdens het onderzoek naar het incident.
De ShinyHunters-groep heeft beweerd een aanzienlijk grotere impact te hebben dan publiekelijk is bevestigd. Volgens de aanvallers kunnen gegevens van maximaal 275 miljoen individuen en bijna 9.000 onderwijsinstellingen zijn benaderd, waaronder privécommunicatie tussen studenten en docenten. Deze cijfers zijn niet onafhankelijk geverifieerd.
Het incident lijkt deel uit te maken van een bredere campagne gericht op cloudgebaseerde en SaaS-platforms. Beveiligingsanalisten merken op dat aanvallen die aan ShinyHunters worden toegeschreven vaak gebaseerd zijn op het stelen van inloggegevens, social engineering of tokenkaping om toegang te krijgen tot bedrijfssystemen in plaats van softwarekwetsbaarheden direct uit te buiten.
Dit is niet de eerste keer dat Instructure te maken heeft met een beveiligingsincident. Het bedrijf maakte eerder een inbreuk bekend die in verband is met social engineering-aanvallen in 2025, eveneens geassocieerd met dezelfde dreigingsgroep, waarmee de voortdurende risico’s voor platforms die grote hoeveelheden educatieve data verwerken worden benadrukt.
Experts waarschuwen dat zelfs beperkte datasets, zoals namen, e-mails en interne communicatie, kunnen worden ingezet voor phishing, imitatie en gerichte social engineering-campagnes. De opname van berichtinhoud vergroot de potentiële blootstelling verder door context te bieden die aanvallers kunnen misbruiken.
Het onderzoek loopt nog steeds, waarbij Instructure de omvang van het lek blijft beoordelen en eventuele tekenen van misbruik of publicatie van gegevens monitort.