Maker van onderwijssoftware Instructure heeft een datalek bevestigd waarbij persoonlijke gegevens van gebruikers zijn blootgesteld. De groep ShinyHunters, onder meer berucht van de grootschalige Odido-hack, heeft de verantwoordelijkheid opgeëist. Men beweert dat bijna 9.000 onderwijsinstanties wereldwijd zijn getroffen en dat gegevens van 275 miljoen personen zijn gestolen, waaronder privéberichten tussen studenten en docenten.
Instructure is vooral bekend van het leerbeheersysteem Canvas dat door scholen en universiteiten wereldwijd wordt gebruikt. Het maakte het incident vrijdag al bekend. Een dag later bevestigde het bedrijf dat er persoonlijke gegevens waren gelekt. Volgens de verklaring van Instructure omvat de gelekte informatie namen, e-mailadressen en student-ID-nummers, evenals berichten tussen gebruikers.
“Hoewel we het onderzoek actief voortzetten, wijzen de aanwijzingen er tot nu toe op dat de betrokken informatie bestaat uit bepaalde identificatiegegevens van gebruikers bij de getroffen instellingen, zoals namen, e-mailadressen en student-ID-nummers, evenals berichten tussen gebruikers”, aldus het bedrijf. Wachtwoorden, geboortedata, overheidsidentificatiegegevens en financiële gegevens zouden niet zijn betrokken.
Als onderdeel van zijn reactie heeft Instructure patches geïmplementeerd, de monitoring opgevoerd en applicatiesleutels geroteerd. Klanten moeten de API-toegang opnieuw autoriseren om nieuwe sleutels te krijgen.
ShinyHunters claimt enorme omvang
ShinyHunters, de ransomwaregroep achter talrijke bekende inbreuken, heeft Instructure op zijn ‘leak site’ vermeld. De groep beweert meer dan 240 miljoen records in bezit te hebben die verband houden met studenten, docenten en personeel, verspreid over bijna 15.000 instellingen in Noord-Amerika, Europa en Oost-Azië/Oceanië. De bende beweert ook dat de Salesforce-instance van Instructure is gehackt.
ShinyHunters richtte zich eerder op bedrijven als Google, AT&T, Odido en Air France-KLM, ook via Salesforce-omgevingen. In september 2025 beweerde de groep 1,5 miljard Salesforce-records van 760 bedrijven te hebben gestolen. Daarna heeft de groep ook Red Hat op haar lekwebsite vermeld. Securityonderzoekers omschrijven het platform van de groep als een soort ‘extortion-as-a-service’.
BleepingComputer kon de omvang van het datalek niet onafhankelijk verifiëren. Instructure heeft niet gereageerd op vragen over wanneer het datalek plaatsvond of of er sprake is van afpersing. Het onderzoek loopt nog, waarbij externe security-experts en overheidsinstanties betrokken zijn.