Canvas hacket igjen: 40 000 NTNU-brukere rammet – hva gjør du nå?

Canvas hacker igjen: 40 000 NTNU-brukere kan være rammet – hva gjør du nå?

Den 1. mai 2026 ble det kjent at den beryktet kriminelle gruppen ShinyHunters hadde gjennomført et nytt dataangrep mot Instructure, selskapet bak læringsplattformen Canvas. Det er andre gang på åtte måneder at gruppen angriper den samme plattformen – første gang var i september 2025. Ifølge rapporter skal hackerne ha stjålet data om opptil 275 millioner studenter og lærere globalt.

I Norge bekreftet NTNU datainnbruddet 6.–7. mai 2026. Universitetet opplyser at rundt 40 000 registrerte brukere i Canvas kan være berørt, hvorav 11 000 er aktive. Universitetet i Oslo (UiO) mottok varsel fra Instructure 5. mai og meldte umiddelbart til Datatilsynet, som innen 8. mai har mottatt nærmere 20 avviksmeldinger fra norske universiteter og høyskoler. OsloMet, Universitetet i Stavanger, Universitetet i Agder og Universitetet i Sørøst-Norge er blant de berørte.

Hackerne har satt en frist til 12. mai 2026: «Betal eller vi lekker alt.»

Hva er stjålet – og hva er ikke stjålet?

Instructure opplyser at følgende data ble eksponert i angrepet:

• Navn og e-postadresser
• Studentnummer
• Private meldinger mellom brukere på plattformen

Selskapet understreker at passord, fødselsdatoer, nasjonale ID-numre og finansiell informasjon ikke ble kompromittert. NTNU bekrefter dette: «Ingen sensitive personopplysninger er stjålet.»

Det betyr likevel ikke at det er grunn til å slappe av. Kombinasjonen av navn, e-post og private meldinger er mer enn nok for målrettede phishing-angrep og sosial manipulasjon.

Hvilke GDPR-rettigheter har du som student?

Som norsk student registrert på Canvas er du en «registrert» i henhold til EUs personvernforordning (GDPR), som gjelder fullt ut i Norge gjennom EØS-avtalen. Du har blant annet:

• Rett til informasjon: Universitetet er pliktig til å varsle deg om at et databrudd har skjedd dersom det medfører risiko for rettighetene og frihetene dine – normalt innen 72 timer etter at de ble klar over bruddet. Dersom du ikke har mottatt varsel, kan du kontakte ditt universitets personvernombud.
• Rett til innsyn: Du kan kreve å se hvilke data som er registrert om deg i Canvas og i universitetets systemer.
• Rett til klage: Dersom du mener ditt universitet ikke har håndtert bruddet i tråd med GDPR, kan du klage til Datatilsynet.
• Rett til erstatning: Dersom du kan dokumentere at du har lidd et faktisk tap som følge av bruddet – for eksempel at du har blitt offer for svindel – kan du ha krav på erstatning fra behandlingsansvarlig.

Konkrete IT-sikkerhetstiltak du bør ta nå

En IT-sikkerhetsekspert vil anbefale følgende umiddelbare steg dersom du er bruker på Canvas ved en norsk institusjon:

1. Bytt passordet ditt i Canvas og alle andre tjenester der du bruker samme passord eller e-postadresse. Canvas har ikke bekreftet at passord ble stjålet, men gjenbruk av passord er en stor risiko.
2. Aktiver to-faktorautentisering (2FA) på alle kontoer knyttet til din universitets-e-postadresse – spesielt e-post, Canvas og nettbank.
3. Vær svært skeptisk til e-post fra ukjente avsendere i dagene fremover. Phishing-angrep basert på lekket data kan se svært troverdige ut fordi de bruker ditt navn og institusjon.
4. Sjekk om din e-post er eksponert ved å bruke tjenester som haveibeenpwned.com.
5. Ikke klikk på lenker i e-poster som ber deg om å logge inn på Canvas eller universitetssystemer. Gå alltid direkte til offisielle nettsider.

Hva bør universiteter og IT-avdelinger gjøre?

For IT-ansvarlige og ledelse ved berørte institusjoner er det nå kritisk å:

• Verifisere omfanget av eksponerte data via Instructure og Sikt (som forvalter Canvas-avtalene for universitets- og høgskolesektoren)
• Sikre at alle brukere varsles individuelt, ikke bare via generelle nyhetsoppslag
• Vurdere om Canvas kan brukes som normalt frem til situasjonen er avklart – eller om sensitive oppgaver og innleveringer bør flyttes til andre kanaler
• Dokumentere alle hendelsesresponstiltak, som kreves under GDPR artikkel 33 og 34
• Gjennomføre en databehandleravtalerevisjon med Instructure

Sikt opplyser at de er i løpende dialog med Instructure. IT-avdelinger bør kreve skriftlige garantier om at angrepsvektoren er tettet.

Hva vet vi om ShinyHunters og denne typen angrep?

ShinyHunters er en kriminell hackergruppe som siden 2020 har stått bak en rekke av verdens største datalekkasjer – blant annet Ticketmaster (2024) og AT&T. Gruppen opererer typisk ved å bryte seg inn gjennom en tredjepartsleverandør og deretter suge ut så mye data som mulig før de krever løsepenger. De er kjent for å true med offentliggjøring dersom løsepengene ikke betales – og noen ganger publiserer de data selv om de mottar betaling.

For norske universiteter betyr dette at løsepengespørsmålet er en juridisk og etisk vurdering de aldri bør gjøre alene. Kriminelle gruppers løsepengekrav er ulovlig å imøtekomme i mange jurisdiksjoner, og betaling garanterer ikke at dataene ikke lekkes likevel. Det riktige er å konsultere jurist, politiet og Datatilsynet – ikke å forhandle direkte med angriperne.

Kan dette skje igjen?

Dessverre er svaret ja – og det er nettopp dette som gjør saken så alvorlig. Dette er ShinyHunters' andre angrep mot Canvas på under ett år. Suksessen første gang kan ha motivert dem til å gå inn igjen. Uten fundamentale endringer i Instructures sikkerhetsarkitektur – og i kontrakter som stiller klare krav til sikkerhetsstandarder – vil norske universiteter fortsatt være sårbare.

En IT-sikkerhetsekspert kan hjelpe din organisasjon eller institusjon med å vurdere risikoeksponering, gjennomgå databehandleravtaler og sette krav til leverandørsikkerhet. På Expert Zoom finner du erfarne IT-konsulenter og cybersikkerhetseksperter tilgjengelig for rådgivning.

Merk: Situasjonen er under rask utvikling. Sjekk ditt universitets offisielle nettsider og e-post for de siste oppdateringene.