Canvas lärplattform utsattes förra veckan för en hackerattack där personuppgifter läcktes. De personuppgifter som Instructure uppger är påverkade är namn, e-postadresser, meddelanden mellan användare (inkorg-funktionen i Canvas), kursnamn och inskrivningsinformation (vilken kurs du är inskriven i).

Högskolan har anmält incidenten till Digitaliseringsenheten på LR.

Uppdatering 13 maj 2026: Canvas hackerattack

Vi har nu fått bekräftat att Högskolan på Åland är bland de skolor som påverkats. Vi försöker ännu klargöra exakt vilken data som läckts ut och om det gäller alla våra användare. Vi har också fått bekräftat att Catalog inte är påverkat.

Då vi inte vet exakt vilken data som läckts så behöver alla byta lösenord. Instruktioner för hur du byter lösenord hittar du här: Instruktioner för lösenordsbyte

Instructure, bolaget bakom Canvas, har nyligen kommit med en uppdatering som säger följande (översatt till svenska):

Instructure nådde en överenskommelse med den obehöriga aktören som ligger bakom denna incident. I avtalet ingår:

• Datan återlämnades till oss.
• Vi fick digital bekräftelse på dataförstöring (förstöring av loggar).
• Vi har informerats om att inga Instructure-kunder kommer att utpressas till följd av denna incident, vare sig offentligt eller på annat sätt.
• Detta avtal omfattar alla berörda Instructure-kunder, och det finns inget behov för enskilda kunder att försöka interagera med den obehöriga aktören.

Även om det aldrig finns fullständig säkerhet när man har att göra med cyberbrottslingar, anser vi att det var viktigt att vidta alla steg inom vår kontroll för att ge kunderna ytterligare sinnesro, i den mån det är möjligt. Vi fortsätter att arbeta med expertleverantörer för att stödja vår forensiska analys, ytterligare stärka vår miljö och genomföra en omfattande granskning av de inblandade uppgifterna. Vi kommer att fortsätta att ge uppdateringar allt eftersom arbetet fortskrider.

De har även meddelat att ett webinar ska hållas inom kort där de kommer ut med mera information – förhoppningen är att det ska hända redan idag, 13 maj.

Enligt Instructure ska Canvas vara helt säkert att använda nu då de hittade hur de blev hackade och har inaktiverat den funktionen.

Vi kommer kontinuerligt att skicka ut meddelanden så fort vi själva får veta mera och för den som vill så kan man följa Instructures statussida: https://www.instructure.com/incident_update

Vad kan jag göra själv?

Som studerande på Högskolan på Åland behöver du inte göra något mer än att vara extra uppmärksam på försök till nätfiske.

Så känner du igen ett phishingmejl:

1. Brådskande ton – meddelandet stressar dig att agera snabbt
2. Utger sig för att vara chef eller kollega
3. Ovanlig e-postadress – kolla noga på avsändarens adress – den kan vara lik men inte helt rätt
4. Begär känslig information eller handling – t.ex. att du ska klicka på en länk, öppna en bilaga eller svara med lösenord
5. Språkfel eller konstig formulering.

Hur ska man gå tillväga då phishingmejl skickas ut?

• Klicka INTE på någon länk eller bilaga
• Svara INTE på mejlet, även om namn från personalen nämns
• Blockera avsändaren
• Radera mejlet
• Kontakta helpdesk@ha.ax så att vi också blir medvetna om det ifall det inte skickats till alla
• Var vaksam på uppföljande mejl eller sms.

Mer information

Instructure har vidtagit säkerhetshöjande åtgärder, och Canvas fungerar som vanligt. Vi på HÅ följer utvecklingen och håller löpande kontakt med Instructure. Vi uppdaterar informationen så fort något nytt tillkommer.

Kontakt vid frågor

Vid frågor eller funderingar kan du vända dig till helpdesk@ha.ax.