Verschillende universiteiten en onderwijsinstellingen zijn in gesprek met de criminele groepering ShinyHunters over het betalen van losgeld, om zo publicatie van de gestolen data van studenten en docenten te voorkomen. Dat melden persbureau Reuters en it-journalist Brian Krebs op basis van anonieme bronnen. De groep wist in te breken op het onderwijsplatform Canvas, van leverancier Instructure. Vervolgens werden gegevens van naar verluidt 275 miljoen gebruikers gestolen.

Canvas is een web-gebaseerd Learning Management System (LMS) waarmee onderwijsinstellingen lesmateriaal aan studenten kunnen aanbieden. Studenten kunnen via Canvas werk indienen, berichten uitwisselen en samenwerken. De criminelen eisten losgeld, anders zouden ze de gestolen data via hun eigen website publiceren. Op de eigen website meldde ShinyHunters ook dat Instructure niet openstond voor onderhandelingen. De groep deed een oproep aan onderwijsinstellingen om individueel over het betalen van losgeld te onderhandelen en zo publicatie te voorkomen. Het lukte ShinyHunters ook om een melding met dezelfde boodschap te tonen bij mensen die op de Canvas-omgeving wilden inloggen.

Instructure zegt op een informatiepagina dat hierbij misbruik is gemaakt een kwetsbaarheid met betrekking tot support tickets in de Free for Teacher-omgeving. Deze omgeving is inmiddels uitgeschakeld. Wat de kwetsbaarheid precies inhoud is niet bekendgemaakt. Wel zegt Instructure dat het Indicators of Compromise (IOC's) met klanten zal delen. Daarnaast zegt Instructure na kritiek van klanten dat het eerder met meer informatie en een reactie had moeten komen. Het bedrijf bleef dagenlang stil, waardoor klanten niet wisten waar ze aan toe waren. Instructure meldt dit nu anders te zullen doen. Nederlandse universiteiten hebben hun Canvas-omgeving inmiddels offline gehaald.