A ShinyHunters kiberbűnözői csoport 2019 óta aktív, elsősorban felhők konfigurációs hibáit, ellopott OAuth tokeneket, supply chain támadásokat és 0-day sérülékenységeket használnak arra, hogy az áldozataiktól adatokat lopjanak, majd pedig ezen adatok nyilvánosságra hozatalával zsarolják őket. Ha az érintett vállalatok nem fizetik ki a követelt összeget, akkor a megszerzett adatokat a dark weben árverezik el.

A csoport az évek során számos, egyre nagyobb vállalat adatait lopta el. Az áldozatok között találhatóak televíziós csatornák, luxuscikkeket forgalmazó vállalatok és telekommunikációs cégek is, de az utóbbi időkben a csoport különleges figyelmet fordított az oktatási szektorra.

2026. áprilisában az Udemy, egy népszerű online oktatóplatform esett áldozatul a ShinyHunters csoportnak. A csoport 1,4 millió személyes adatot lopott el a platform felhasználóitól. Az Udemy nem tett eleget a zsarolásnak, így az adatokat a ShinyHunters közzétette a dark weben.

Május elején a ShinyHunters a Canvas-t, egy felhőalapú oktatási hub-ot vette célba. A platform több mint 8,000 oktatási intézménnyel áll szerződésben, és több mint 30 millió felhasználóval rendelkezik. A támadás áldozatai többek között a Harvard, a Princeton, az Oxford és az MIT is. Megszerezték a diákok diákigazolvány számát, e-mail címét és a platformon küldött üzeneteiket is.

Május 12-én az Australian Broadcasting Corporation értesülése szerint a Canvas fejlesztője, az Instructure megállapodott a támadás mögött álló csoporttal és visszavásárolták az eltulajdonított adatokat. A megállapodás szerint a ShinyHunters minden érintett oktatási intézmény diákjának adatait törölte a saját eszközeiről, így az érintett intézményeknek nem kellett tárgyalást folytatni a támadókkal.

A támadás jól illusztrálja azt, hogy egy supply chain támadás hány egymástól különálló vállalatot és szervezetet érinthet egyszerre.