Skip to content
CBCyber Breaches
Recherche
Fuite de donnéesRançon payée

Fuite ShinyHunters chez Instructure Canvas LMS (2026)

ShinyHunters a exploité le programme de comptes Free-For-Teacher de Canvas pour exfiltrer 3,65 To de données couvrant environ 275 millions d'utilisateurs dans près de 9 000 établissements scolaires — noms, adresses e-mail, identifiants d'étudiants et certains messages privés entre étudiants et enseignants. Instructure aurait payé la rançon et les données auraient été détruites.

Victime
Instructure (Canvas LMS)
Perte
$10.0M
données
275.0M
utilisateurs
275.0M
SecteurÉducationTechnologie
PaysÉtats-Unis
GroupeShinyHunters

Début mai 2026, Instructure — l'entreprise derrière Canvas, le système de gestion de l'apprentissage utilisé par environ 41 % des établissements d'enseignement supérieur américains et des milliers d'écoles K-12 — a révélé une importante fuite orchestrée par ShinyHunters. Elle est désormais considérée comme le plus grand incident de sécurité du secteur éducatif jamais enregistré en nombre d'utilisateurs touchés.

Ce qui s'est passé

Les attaquants ont pénétré dans Canvas via le programme de comptes Free-For-Teacher — un niveau d'inscription à faible friction destiné à permettre aux enseignants individuels d'essayer la plateforme — et depuis ce point d'ancrage, ils ont atteint les données clients de l'instance Canvas plus large. La fenêtre d'exposition s'est étendue du 30 avril au 7 mai 2026 ; Instructure a détecté l'activité non autorisée le 1er mai.

ShinyHunters a revendiqué publiquement l'attaque le 3 mai 2026 et lancé une campagne d'extorsion de type « payer ou divulguer » avec une échéance fixée au 7 mai (ensuite repoussée au 12 mai). Le jeu de données revendiqué était de 3,65 To couvrant environ 275 millions d'utilisateurs dans ~9 000 établissements scolaires — noms, adresses e-mail, identifiants d'étudiants et certains messages privés échangés entre étudiants et enseignants.

Le 11 mai 2026, Instructure a publié des excuses publiques pour son manque de transparence et confirmé qu'un accord avait été conclu avec l'acteur ; l'entreprise a déclaré que les données compromises avaient été détruites. Inside Higher Ed et d'autres médias ont rapporté, citant des sources non confirmées, que le montant du règlement s'élevait à environ 10 millions de dollars.

Il s'agit de la deuxième compromission d'Instructure par ShinyHunters en huit mois — un précédent incident avait touché la même plateforme en 2025.

Impact

  • ~275 millions d'utilisateurs dans environ 9 000 établissements scolaires dans le monde affectés — la plus grande fuite du secteur éducatif jamais enregistrée par nombre d'utilisateurs.
  • 3,65 To prétendument exfiltrés.
  • Noms, adresses e-mail, identifiants d'étudiants et certains messages privés étudiant–enseignant exposés.
  • Paiement de rançon rapporté à ~10 millions de dollars.
  • Conséquences réglementaires et réputationnelles aiguës pour Canvas dans l'enseignement supérieur américain, où il est le LMS dominant.

Pourquoi c'est important

Un niveau de compte d'essai gratuit est, par conception, la surface à plus faible friction d'une plateforme SaaS. C'est précisément ce qui en fait un vecteur d'accès initial à haute valeur s'il partage la moindre plomberie avec l'instance des clients payants. ShinyHunters a démontré, à deux reprises, qu'un point d'entrée conçu pour l'acquisition peut aussi être conçu pour l'exfiltration.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
10.0M
USD · 10 000 000 $US
Rançon demandée
$10.0M
Rançon payée
$10.0M
  • Rançon payée$10.0M

Chronologie

  1. Une activité non autorisée débute contre la plateforme Canvas d'Instructure ; ShinyHunters exploite le programme de comptes Free-For-Teacher pour accéder aux données clients.

  2. Instructure détecte l'activité non autorisée.

  3. ShinyHunters revendique publiquement l'attaque et lance une campagne d'extorsion avec une échéance fixée au 7 mai.

  4. Inside Higher Ed rapporte la menace d'extorsion « payer ou divulguer » visant Instructure.

  5. Dernier jour de la fenêtre d'exposition de la fuite.

  6. ShinyHunters revendique le vol de 3,65 To couvrant environ 275 millions d'utilisateurs et 9 000 établissements scolaires.

  7. Instructure présente publiquement ses excuses pour son manque de transparence et confirme qu'un accord a été conclu avec l'acteur ; selon des informations non confirmées, environ 10 millions de dollars auraient été versés et les données détruites.

Sources

  1. en.wikipedia.orghttps://en.wikipedia.org/wiki/2026_Canvas_security_incident
  2. insidehighered.comhttps://www.insidehighered.com/news/tech-innovation/administrative-tech/2026/05/11/instructure-pays-ransom-canvas-hackers
  3. insidehighered.comhttps://www.insidehighered.com/news/tech-innovation/administrative-tech/2026/05/05/pay-or-leak-hackers-target-big-higher-ed-vendor
  4. hackread.comhttps://hackread.com/shinyhunters-instructure-canvas-lms-vimeo-data-breach/
  5. bitdefender.comhttps://www.bitdefender.com/en-us/blog/businessinsights/technical-advisory-shinyhunters-breach-instructure-canvas-lms

Incidents liés

Bourrage d’identifiantsContenu

Campagne de credential-stuffing contre les comptes clients Snowflake (UNC5537, 2024)

Un cluster malveillant suivi sous le nom d'UNC5537 / ShinyHunters a utilisé des identifiants collectés par des logiciels infostealers pour se connecter à environ 160 tenants clients Snowflake dépourvus de MFA. Parmi les victimes : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus et Bausch Health. Ticketmaster à elle seule a exposé les données d'environ 560 millions d'utilisateurs.

Victim
Tenants clients de Snowflake (~160 organisations : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus, Bausch Health, etc.)
Records
560.0M
Fuite de donnéesContenu

Compromission en deux temps de LastPass et vol des coffres clients (2022)

Un vol de code source en août 2022 sur l'ordinateur portable d'un développeur LastPass s'est enchaîné en novembre 2022 avec la compromission de l'ordinateur personnel d'un ingénieur DevOps — donnant accès aux sauvegardes des coffres de mots de passe des clients. Les enquêteurs fédéraux ont ensuite relié les coffres volés à LastPass à un casse crypto de 150 millions de dollars.

Victim
LastPass