Personuppgifter och meddelanden stulna från lärplattform

Publicerad: 2026-05-08

Senast ändrad: 2026-05-12

En ökänd utpressargrupp säger sig ha stulit stora mängder personuppgifter från lärplattformen Canvas. Enligt Canvas leverantör är minst 31 svenska lärosäten påverkade. Utpressarna hotar med att läcka informationen på darknet. Vi berättar vad du bör tänka på.

Uppdatering 2026-05-12: Canvas ägare har kommit överens med utpressarna om att inte publicera de stulna uppgiftern a.

Den 29 april drabbades it-företaget Instructure av ett intrång. Instructure levererar bland annat lärplattformen Canvas till svenska lärosäten. Enligt Instructures egna uppgifter har angriparna kunnat komma åt användarnas namn, mejladresser, student-id-nummer och direktmeddelanden. Instructure bedömer att angriparna däremot inte har kommit åt några lösenord.

Minst 31 svenska lärosätten påverkas

Angriparna själva uppger att 275 miljoner individer från nästan 9 000 skolor påverkas. Dessa uppgifter är ännu inte bekräftade.

Svenska Sunet har publicerat leverantörens lista över bekräftat berörda svenska organisationer , där det bland annat finns 31 svenska lärosäten. Enligt leverantören påverkas inte Karlstads universitet . Sunet har ifrågasatt detta, och enligt utpressarna själva är även Karlstads universitet berörda.

Angriparna påstår också att de har kommit över miljardtals direktmeddelanden som har skickats på lärplattformen. Totalt säger de sig ha stulit 3,65 terabyte data.

Skärmavbild av utpressargruppens webbsida. Under rubriken ”Canva LMS” står att nära 9000 runt om i världen påverkas. Där syns också en stor röd varning med texten ”Sista varningen, betala eller läck”. Texten är på engelska. — Angriparna säger sig ha stulit uppgifter från 275 miljoner användare.

Utpressarna vill ha betalt för att inte läcka datan

Den 7 maj lyckades angriparna utföra nya attacker mot lärplattformen. Den gången bytte angriparna ut lärplattformens inloggningssida mot ett meddelande som riktades direkt till skolorna. Angriparna uppmanade skolorna att ta kontakt med dem för att förhandla om en lösensumma och slippa få användarnas data läckt på darknet.

Skärmavbild av inloggningssidan för Canvas LMS efter att den hade blivit kapad. Angriparna skriver att de har gjort intrång hos Instructure (igen) och att deadline för förhandlingarna är 12 maj 2026. Texten är på engelska. — Angriparna kapade lärplattformen och publicerade en varnande uppmaning till de drabbade skolorna.

Angriparna har inte publicerat den stulna datan än. De har satt den tolfte maj som deadline för förhandlingarna.

Utpressargruppen är känd sedan tidigare. Baserat på historiken kommer utpressarna att publicera den stulna datan när de inte får betalt. Vi fortsätter att bevaka händelseutvecklingen och vilken data som läcker. Denna artikel uppdateras vid behov.

Rekommendationer till studenter och lärare

Vi påminner om att det råder förhöjd risk för nätfiskeattacker. Tänk på att utpressarna har tillgång till mejladresserna. Lita därför inte på information som skickas via mejl. Tänk också på att angriparna lyckades kapa lärplattformen på nytt. Avvakta därför med att lita på informationen som visas på lärplattformen tills Instructure har bekräftat att de har återfått full kontroll över lärplattformen.

Besök i stället ditt lärosätes officiella webbsida för att ta del av den senaste informationen.

Du kan också få uppdateringar via Sunets och Instructures incidentrapportsidor samt i kommande versioner av den här artikeln. Mejladresserna som slutligen läcker kommer sannolikt att läggas till i Säkerhetskollens testverktyg .