Hackerattack mot lärplattform som över 30 svenska universitet och högskolor använder

Nja, det är först ett lösenord på hemsidan, sedan ett lösenord i själva appen, sen pinkod, sen en till pinkod (annan än första), sen är du inloggad. Med all den säkerheten tycker jag inte att de borde kunnat hacka, men tydligen.

Det är med all trolighet inte genom liknande "säkra" inloggningar som de har kommit in, utan på annat sätt exempelvis genom en bugg eller ett säkerhethål. Det är som att du han ha världens säkraste stålförstärkta ytterdörr på framsidan av huset med dubbla lås, men det spelar ingen roll ifall dom har möjlighet att bryta upp altandörren på baksidan.

Det låter rimligt! Nej, för med den rigorösa inloggningen känns det inte rimligt att de skulle ha knäckt några lösenordsnycklar eller så. Är dock förvånande om det skulle vara säkerhetshål, Canvas har alltid förts fram som ett väldigt säkert system, som skulle vara mycket säkrare än sina föregångare.

Med tanke på när detta säkerhetshål upptäcktes kan man nog sätta lite pengar på att det är den vägen de har använt för att komma in:
https://www.microsoft.com/en-us/security/blog/2026/05/01/cve-2026-31431-copy-fail-vulnerability-enables-linux-root-privilege-escalation/

Det där är en privilege escalation, alltså ett sätt för en användare att skaffa sig större rättigheter på ett system den redan har tillgång till och inte ett sätt att ta sig in i ett system som man inte ska ha tillgång till.

Det är såklart inte omöjligt att de använt sig av den sårbarheten efter att de tagit sig in men för att ta sig in är väl dåligt patchade legacysystem eller sårbar nätverksutrustning lågoddsare

"STATUS UPDATE 5/11/26

We know that concerns about the potential publication of data related to this incident remain top of mind for many customers. We understand how unsettling situations like this can be, and protecting our community remains our top priority.

With that responsibility in mind, Instructure reached an agreement with the unauthorized actor involved in this incident. As part of that agreement:

The data was returned to us.
We received digital confirmation of data destruction (shred logs).
We have been informed that no Instructure customers will be extorted as a result of this incident, publicly or otherwise.
This agreement covers all impacted Instructure customers, and there is no need for individual customers to attempt to engage with the unauthorized actor."

Källa: https://www.instructure.com/incident_update

Oj, de verkar ha betalat alltså!? Undrar vad summan landade på och varför de valde att betala när i stort sett alla andra struntar i det och verkar klara sig undan utan för stor skada på sitt rykte.

We received digital confirmation of data destruction (shred logs).
We have been informed that no Instructure customers will be extorted as a result of this incident, publicly or otherwise.

Vad skönt. Ingen skada skedd. Alla kan pusta ut.
Snälla utpressare.

Vill de få betalt i framtiden så håller de sitt löfte. Kommer datan på vift ändå finns ju inget incitament för framtida utpressningsoffer att betala.

Ja, jag hörde det på radion nu ikväll.
Men.
Uppgifter hade redan börjat läcka ut (ett sätt att ytterligare sätta press).

Så här säger integitetsskyddsmyndighetens generaldirektör om avtalet
https://www.svt.se/nyheter/inrikes/dataintrang-stoppat-flera-universitet-drabbades

Jag tycker att han har fel. Har man läckt sina kunders uppgifter, som man ansvarar över, och det finns en möjlighet att göra så att de inte sprids, då har man en skyldighet att förhindra spridningen. Hans lösningar är ju talande…
Ja… Lite som att man kommer in på sjukhuset med ett brutet ben från en bilolycka och doktorn säger att man inte ska köra så fort. Jag vet inte vad ni hade svarat doktorn. Själv hade jag sagt något i stil med ”sug min kuk”.