Aktuellt

Aktuell information för tjänsten publiceras via Sunet forum: https://forum.sunet.se/s/salsa/

2026-05-09 kl 21:47

Guiden över vissa åtgärder i Canvas är nu uppdaterad med mer information om hur lärosätet konfigurerar MFA på lokala konton https://docs.google.com/document/d/1tBAEUI6nix3CoTRSIgA0DrcQDnZwiyv0ZTomGhafSwI/edit?usp=sharing

2026-05-09 kl 21:17

Uppdaterad lista över lärosäten som drabbats av attacken/säkerhetsincidenten mot Canvas: https://docs.google.com/document/d/1IPRSthfNP6_t5LHm6H1E_tngiAhgugAVFyiROXuJMvg/edit?usp=sharing

2026-05-08 kl 15:53

Guide för att vidta vissa åtgärder i Canvas: https://docs.google.com/document/d/1tBAEUI6nix3CoTRSIgA0DrcQDnZwiyv0ZTomGhafSwI.

2026-05-08 kl 15:16

Vi har nu fått bekräftat från leverantören att även Karlstads universitet finns med på listan över drabbade lärosäten.

2026-05-08 kl 14:45

Canvasadaptern avstängd under helgen: Sunet och Ladok har gemensamt tagit beslut om att integrationen mellan Canvas och Ladok fortsatt ska vara avstängd under helgen. 

2026-05-08 kl 10:09

Senaste info från leverantören Instructure https://www.instructure.com/incident_update 

2026-05-08 kl 00:03

Hotaktören har meddelat att de just nu genomför nya attacker mot Canvas.

Vi har informerat våra leverantörer som integrerar mot Canvas om den pågående attacken.

2026-05-07 kl 23:03

Canvas ligger just nu nere rapporterar Instructure
https://status.instructure.com/incidents/m88d7ymwpzpy 

2026-05-07 kl 11:40

Karlstads universitet är just nu det enda lärosätet på listan som enligt Instructure inte är drabbade. Vi är dock tveksamma till om det verkligen stämmer och har därför bett leverantören att dubbelkolla den uppgiften. 

2026-05-06 kl 22:44

Instructure har nu meddelat att de korrigerar listan över drabbade svenska lärosäten. Tyvärr ingår nu även UHR i listan av drabbade organisationer. 
De skriver: UHR (Universitets- och högskolerådet) was indeed on the list of affected institutions. Apologies, some are harder to identify due to special characters. 

2026-05-06 kl 18:45

Vi har nu fått en lista av leverantören med de svenska lärosäten som är drabbade. OBS! Uppdaterad 260506 kl 17.22: UHR är även drabbad. 

31 lärosäten samt UHR och UKÄ.

2026-05-06 kl 08:10

Följande information skickades från Instructure till oss under natten: 

We are writing with an important update on the recent Canvas security incident.

While our investigation remains ongoing with the assistance of outside forensic experts, we want to share that your organization has been impacted by a criminal threat actor who has obtained data associated with your account. Based on what we have found to date, the data involved appears to include personal information. At this time, we have found no indication that passwords, dates of birth, government identifiers, or financial information were involved.

On April 25, 2026, Instructure experienced a cybersecurity incident perpetrated by a criminal threat actor. We detected the attacker on April 29 and immediately revoked the access. On April 30, as the investigation expanded, we revoked additional suspicious access and addressed the underlying vulnerability. We have found no indicators of an ongoing threat.

Actions we have taken
From the moment we detected this malicious activity, we moved quickly to protect our platform and learn what happened. We:

  • Engaged a leading third-party forensics firm to support our investigation
  • Notified law enforcement, including the FBI, U.S. Cybersecurity and Infrastructure Security Agency (CISA), and international law enforcement partners
  • Disabled the compromised accounts and revoked all associated access and tokens
  • Remediated the underlying vulnerability and deployed platform-wide protections
  • Rotated internal keys and restricted token creation pathways across the platform

Current status
Canvas, Canvas Data 2, and Canvas Beta are fully operational and we continue to focus on bringing the Test environments back online this week. The broader platform is fully operational with enhanced monitoring and detection controls in place. Service updates are posted to our status page.

Impact on your organization
Our teams are working around the clock with outside forensics experts to gather the information you need to understand how this impacted your organization. Investigations of this nature take time to do properly, and we are committed to giving you accurate information as quickly as we are able. As always, your CSM and account team are available.

Near-term impacts to your Canvas Experience
Continuously hardening our infrastructure is a critical goal, and thus, there are some changes you will see. We know some of these changes may cause some inconvenience to you and your users, but we think it’s prudent given the ever-evolving security landscape.

Recommended Actions for Your Organization
We recommend you continue to observe industry best practices regarding data hygiene and security, including, but not limited to:
Enforce MFA on every privileged account, and audit admin role assignments to remove anyone who shouldn't have access
Engage your security, privacy, and legal teams to review your organization's own notification obligations under FERPA, state law, and any international privacy laws that apply
Watch for our follow-up with organization-specific data and identity-protection resources for affected individuals
We know this incident affects the trust you place in us, and we take that seriously. We are committed to sharing timely, accurate updates as our investigation progresses.

Sincerely,
Steve Daly
Chief Executive Officer, Instructure

Steve Proud
Chief Information Security Officer, Instructure

2026-05-05 kl 08:48 Angående Säkerhetsincident hos Instructure (Canvas)

Vi vet fortfarande inte om några svenska lärosäten är drabbade av incidenten. 

2026-05-04 kl 16:22 Angående Säkerhetsincident hos Instructure (Canvas)

En uppdatering till berörda organisationer

Vi kontaktar er i egenskap av samordnande part för Instructure Canvas, med anledning av den cybersäkerhetsincident som Instructure offentliggjorde den 2 maj 2026.

Bakgrund

Instructure bekräftade den 2 maj 2026 att de utsatts för en cybersäkerhetsincident begången av en kriminell hotaktör. Utredningen bedrivs aktivt med hjälp av externa forensiska experter. Som er samordnare vidarebefordrar vi löpande information och bistår er i hanteringen av incidenten ur ett dataskyddsperspektiv.

Aktuellt läge

Enligt Instructures senaste uppdatering (2 maj 2026, kl. 12:46 MDT) bedömer de att incidenten i nuläget är begränsad. De åtgärder som Instructure själva har vidtagit inkluderar:

  • Återkallande av privilegierade inloggningsuppgifter och åtkomsttokens kopplade till berörda system
  • Distribution av säkerhetspatchar för att stärka systemskyddet
  • Rotation av vissa nycklar som en försiktighetsåtgärd, trots att inga bevis finns för missbruk
  • Implementering av förstärkt övervakning på samtliga plattformar

Känd information

Instructures utredning indikerar hittills att den exponerade informationen omfattar viss identifierande information om användare vid berörda institutioner, däribland namn, e-postadresser och student-ID-nummer, samt meddelanden mellan användare.

För närvarande har Instructure inte funnit bevis för att lösenord, födelsedatum, personnummer eller finansiell information berörts. Om det läget förändras åtar sig Instructure att omgående meddela berörda institutioner och vi som samordnare kommer att säkerställa att ni får den informationen utan dröjsmål.

Externa källor med mer information som ej är bekräftad:
https://databreaches.net/2026/05/03/instructure-discloses-second-data-breach-in-less-than-a-year/

Vad detta innebär för er hantering

Givet ovanstående rekommenderar vi er att vid er bedömning om detta innebär en personuppgiftsincident enligt GDPR; inte enbart utgå från Instructures bekräftade uppgifter, utan även ta höjd för den potentiellt väsentligt större exponering som externa källor indikerar.

Vi återkommer med uppdateringar i takt med att situationen utvecklas.

Vad detta innebär för er som personuppgiftsansvarig

Som personuppgiftsansvarig för era användares data rekommenderar vi er att:

  • Bedöma om incidenten utgör en personuppgiftsincident som kräver anmälan till Integritetsskyddsmyndigheten (IMY) inom 72 timmar enligt GDPR artikel 33
  • Överväga om registrerade (t.ex. studenter och personal) behöver informeras enligt GDPR artikel 34.
  • Dokumentera er bedömning och de åtgärder ni vidtar i enlighet med er interna rutin för incidenthantering


Vi följer händelseutvecklingen noga och återkommer med ytterligare uppdateringar i takt med att Instructures utredning fortskrider. För löpande information hänvisar vi till Instructure som är personuppgiftsbiträde för tjänsten LMS (Canvas): https://status.instructure.com/

Diskussioner i denna fråga förs fortsättningsvis gärna via https://forum.sunet.se/s/salsa/ 

Contact us

Please contact service manager Minette Henriksson, minette.henriksson@sunet.se

  • No labels