Hafa frest til 12. maí til að koma í veg fyrir gagnaleka

Freyja Þórisdóttir skrifar 7. maí 2026 23:59

Þetta er önnur árás netþrjótanna síðasta mánuðinn en hún hittir einstaklega illa á enda eru nemendur um allan heim á kafi í prófatörn. Vísir/aðsend

Canvas-námsumsjónarkerfið liggur niðri á ný og samkvæmt erlendum miðlum hefur hópur netþrjóta sem kallast ShinyHunters lýst yfir ábyrgð á netárásunum. Nemendur Háskóla Íslands sem voru inni á síðunni þegar hún var tekin niður segjast hafa fengið upp á skjáinn skilaboð frá netþrjótunum.

Frá þessu er meðal annars greint í frétt bandaríska fjölmiðilsins CNN en svo virðist sem netþrjótahópurinn hafi verið að senda skólunum skilaboð.

„Já, ég var að taka kaflapróf á Canvas og fer á milli flipa, svo þegar ég fer inn á Canvas aftur þá koma upp þessi skilaboð,“ segir María Mist Þórs Sigursteinsdóttir nemandi í Keili. Hún bætir við að það hafi birst listi yfir skóla sem mættu sæta netárásum og þar á meðal var Keilir, Háskólinn í Reykjavík, Háskóli Íslands og Menntaskólinn á Egilsstöðum.

Í gær, þann 6. maí, fengu nemendur Háskóla Íslands tölvupóst frá skólanum þar sem segir að ekki liggi fyrir vísbendingar um að viðkvæm gögn hafi komist í hendur óviðkomandi aðila.

Á skjáborði hvers nemanda í Canvas birtast þau námskeið sem viðkomandi er skráður í, ásamt tilkynningum, mikilvægum dagsetningum, umræðum og öðrum upplýsingum sem tengjast hverju námskeiði.

Í framhaldi af tilkynningu Háskóla Íslands í gær um alvarlegt öryggisatvik sem varð hjá þjónustuaðila Canvas-námsumsjónarkerfisins, Instructure, viljum við taka eftirfarandi fram: Samkvæmt nýjustu upplýsingum hefur óviðkomandi aðili komist ólöglega yfir hluta gagna innan Canvas-kerfisins sem tengjast notendum í fjölda háskóla um allan heim, þar á meðal Háskóla Íslands. Gögnin kunna að innihalda netföng og skilaboð milli notenda Canvas. Við áréttum að Canvas geymir hvorki lykilorð né kennitölur notenda Háskóla Íslands og ekki liggja fyrir vísbendingar um að fjárhagsupplýsingar eða önnur viðkvæm gögn hafi komist í hendur óviðkomandi aðila. Við hvetjum notendur Canvas til að sýna aðgát gagnvart óvenjulegum tölvupóstum, skilaboðum eða beiðnum um upplýsingar sem kunna að tengjast málinu. Rannsókn á málinu stendur enn yfir og verður áfram fylgst náið með framvindu þess. Háskóli Íslands mun upplýsa notendur eftir því sem nýjar upplýsingar berast eða tilefni verður til frekari aðgerða.

Rétt fyrir klukkan ellefu í kvöld var send út tilkynning frá upplýsingaöryggisstjóra Háskóla Íslands þar sem fram kom að Instructure ynni að því að rannsaka málið og koma kerfinu aftur í eðlilegt horf.

„Við fylgjumst náið með stöðunni og munum senda frekari upplýsingar þegar þær liggja fyrir,“ stóð þar og einnig var beðist velvirðingar á þeim óþægindum sem þetta kynni að valda.

Mörg þúsund skólar urðu fyrir árásunum

Canvas er með yfir 30 milljónir virkra notenda á heimsvísu, að því er móðurfyrirtækið Instructure heldur fram á vefsíðu sinni, og þjónustar yfir 8.000 stofnanir. Margir þessara nemenda eru á kafi í annasömu vorprófatímabili.

Um fimm þúsund skólar og stofnanir voru útlistuð í skilaboðum ShinyHunters en þar stóð einnig að gagnalekinn væri til kominn vegna þess að „fórnarlambið greiddi ekki lausnargjald eða sýndi samstarfsvilja og fór ekki að kröfum ShinyHunters-hópsins“.

Ekki í fyrsta sinn

Þetta er annað gagnabrotið í þessum mánuði sem bitnar á skólum og háskólum. Tölvuþrjótahópurinn ShinyHunters hefur lýst yfir ábyrgð á báðum árásunum en líkt og fyrr segir krafðist hópurinn þess að Instructure setti sig í samband við sig til að koma í veg fyrir frekari gagnaleka. Ekki er ljóst hvort að krafist sé gjalds.

„ShinyHunters hefur brotist inn hjá Instructure (aftur),“ stóð í viðvörun á aðgangi nemanda við University of Washington um hádegisbil að staðartíma, en þetta kemur jafnframt fram í umfjöllun CNN.

„Í stað þess að hafa samband við okkur til að leysa málið hunsuðu þeir okkur og gerðu einhverjar „öryggisuppfærslur“,“ stóð þar einnig.

Instructure sagði á vefsíðu sinni seint á fimmtudagseftirmiðdegi að Canvas væri „í viðhaldsham“ og bætti við að málið væri í rannsókn. Fyrirtækið gaf þó til kynna að notendanöfnum, netföngum og nemendanúmerum hefði verið lekið.

„Instructure hefur enn frest til loka dags 12. maí 2026 til að hafa samband við okkur,“ stóð í skilaboðunum á fimmtudag.

Uppfært kl. 06.30, 8. maí: Nemendur Háskóla Íslands geta nú aftur komist inn á Canvas.

Veistu meira um málið? Sendu okkur fréttaskot nafnlaust eða undir nafni hér.

Skóla- og menntamál Netglæpir Háskólar Tækni Hagsmunir stúdenta