275 millioner brukere. 8 809 skoler og universiteter over hele verden. 3,65 terabyte stjålet data. Og det skjedde mens millioner av studenter satt i eksamensperiode, desperate etter å få innleveringene sine i hus.
Canvas — læringsplattformen som eies av Instructure — ble hacket. Ikke for første gang. Og sannsynligvis ikke for siste.
Hackergruppen ShinyHunters tok seg inn via noe så banalt som «Free-For-Teacher»-kontoer. Gratistjenesten Instructure tilbyr. Det er som om banken din la hovednøkkelen under matte fordi det var praktisk.
Og hva gjør Instructure når de oppdager det? De patcher. De sier “vi har stanset det.” Og så — fem dager senere — hacker ShinyHunters dem igjen. Denne gangen bytter de ut innloggingssidene med en løsepenger-melding synlig for alle som prøvde å logge inn. “Betal innen 12. mai, eller vi lekker alt.”
Datatilsynet kaller det alvorlig. NTNU bekrefter at de er rammet. Digi.no rapporterer at dette er det sjette dataangrepet mot Canvas. Sjette.
Hvem valgte dette?
Det er spørsmålet ingen stiller.
Ingen student fylte ut et skjema og sa “ja takk, jeg vil gjerne at alle beskjedene mine, ID-nummeret mitt og kommunikasjonen min med forelesere skal lagres hos et selskap i Utah.” Skolene valgte Canvas. Universitetene inngikk avtalene. Studentene ble bare… påmeldt. Uten mulighet til å si nei.
Du kan ikke studere uten å bruke plattformen. Du kan ikke levere oppgaver, du kan ikke kommunisere med foreleseren din, du kan ikke se karakterene dine. Det er ikke et tilbud. Det er et krav.
Og når det kravet svikter — når plattformen du må bruke lekker navnet ditt, epostadressen din, student-ID-en din og private meldinger til en hackergruppe — hvem tar ansvaret?
Ikke Canvas. Ikke Instructure. Ikke universitetet.
Deg. Det er alltid deg som må bytte passord, passe på mistenkelige eposter, og håpe at identiteten din ikke havner i feil hender.
Et selskap for 52 milliarder kr klarer ikke elementær sikkerhet
La oss snakke om hvem vi egentlig stoler på her.
Instructure ble kjøpt opp av investeringsgigantene KKR og Dragoneer i 2024 for 4,8 milliarder dollar — det er rundt 52 milliarder kroner. Selskapet har en omsetning på over 5 750 millioner kroner. De leverer plattformer til 30 millioner aktive brukere. 41 % av høyere utdanningsinstitusjoner i Nord-Amerika bruker Canvas.
Et selskap med disse musklene klarer altså ikke å sikre en “Free-For-Teacher”-funksjon. En gratistjeneste. Det var inngangsporten til 275 millioner brukeres data.
The New York Times rapporterte at studenter over hele USA ble kastet ut midt under eksamensinnleveringer. CNN beskrev det som kaos under eksamensuke. I Australia advarte ABC News om at studenter ble utsatt for utpressingsforsøk direkte. Studentene fikk løsepenger-meldinger på innloggingssiden sin. Fra skolens egen plattform.
404 Media kalte det “den største personvern-katastrofen for studentdata i historien”. Og de har nok rett.
Problemet heter sentralisering
Dette handler ikke bare om Canvas. Det handler om et mønster.
Når 8 809 institusjoner over hele verden lagrer alt — oppgaver, karakterer, meldinger, personlig informasjon — hos én enkelt leverandør, skaper du et mål så stort at det bare er et spørsmål om tid før noen treffer. Det er ikke et teknisk problem. Det er et strukturelt problem.
I Nederland ble 44 utdanningsinstitusjoner rammet. Flere universiteter koblet umiddelbart Canvas fra sine interne systemer. I Australia ble universiteter i Melbourne, Sydney og Adelaide tvunget til å gi studentene utvidet frist på innleveringer. I Canada startet University of British Columbia flyttingen over til Moodle — Canvas’ åpen kildekode-konkurrent.
Og det er kanskje det mest positive som kommer ut av dette. At noen endelig spør: Hvorfor overleverer vi alt til én aktør?
Moodle er åpen kildekode. Det betyr at skolene kan hoste det selv. De eier dataene. De kontrollerer sikkerheten. De er ikke avhengige av om et selskap i Utah husker å låse døra. Moodle er ruvere i kantene — ikke like polert, krever mer lokalt ansvar — men det er ditt. Dataene dine blir på din server, under dine regler.
Hva med Norge?
Her hjemme er situasjonen bekymringsfull. NTNU er bekreftet rammet. Flere norske universiteter og høyskoler bruker Canvas. Og norske studenter har det samme problemet som alle andre: De har ikke valgt plattformen. De har ikke gitt samtykke til at dataene deres skal lagres i utlandet. De har ingen måte å melde seg ut uten å slutte å studere.
GDPR skulle vel beskytte oss? Teoretisk sett ja. I praksis? Når universitetet ditt krever at du bruker Canvas for å få karakterer, er ikke samtykke ditt frivillig. Det er tvunget. Og tvunget samtykke er ikke samtykke.
Datatilsynet sier det fremstår alvorlig. Det er bra. Men “alvorlig” er ikke det samme som “vi gjør noe med det”. Vi har sett dette før. Et databrudd, en streng uttalelse, noen måneders stillhet, og så er vi tilbake til det samme.
Hva kan du gjøre?
Realistisk? Ikke mye, hvis du er student. Du kan ikke boikotte Canvas uten å boikotte utdanningen din. Det er det som er så frustrerende. Du er fanget i et system du ikke valgte, som du ikke stoler på, men som du må bruke.
Men du kan gjøre noen ting. Bruk et eget passord til Canvas — ikke det samme som til banken din, eposten din, eller noe annet. Slå på tofaktor-autentisering hvis det er tilgjengelig. Vær paranoid om eposter som utgir seg for å være fra skolen akkurat nå — ShinyHunters sitter med nok info til å lage svært overbevisende phishing.
Og hvis du er i en posisjon hvor du kan stille spørsmål — på et fakultetsmøte, i studentorganisasjonen, over middagsbordet — så spør: Hvorfor stoler vi på at et selskap vi ikke kontrollerer, skal beskytte dataene til hundretusenvis av norske studenter? Hva er plan B? Når går vi over til noe vi faktisk eier selv?
Instructure har per i dag ikke bekreftet om de har betalt løsepenger. De har ikke oppdatert om stjålne data. ShinyHunters’ frist var 12. mai. Vi vet ikke hva som skjer etter det.
Det vi vet er at dette skjer igjen. Ikke nødvendigvis med Canvas. Men med den neste plattformen vi blir tvunget til å bruke. Fordi problemet ikke er at noen hacker. Problemet er at vi bygger systemer der millioner av mennesker er avhengige av én enkelt leverandør som ikke en gang klarer å låse døra.
Og vi som bruker disse systemene? Vi har ikke engang nøkkelen. Vi har ikke en gang fått lov til å spørre om vi vil inn.