Po trenutno razpoložljivih informacijah so bili v incidentu z dne 29. 4. 2026 pri prizadetih organizacijah lahko odtujeni določeni osebni podatki uporabnikov, in sicer imena, elektronski naslovi, študentske identifikacijske številke ter sporočila med uporabniki Canvas. Ponudnik je navedel, da po dosedanjih ugotovitvah ni dokazov, da bi bili vključeni gesla, datumi rojstva, uradni identifikatorji ali finančni podatki.

Dne 7. 5. 2026 je prišlo tudi do dodatne nepooblaščene aktivnosti, pri kateri so bile spremenjene strani, ki so se prikazale nekaterim uporabnikom Canvas. Po navedbah dobavitelja za zdaj ni dokazov, da bi bili pri tej aktivnosti odtujeni dodatni podatki ali pridobljeni prijavni podatki uporabnikov. Dobavitelj je sporočil, da je bila vstopna točka povezana z računi Free-For-Teacher, ki so bili zato začasno izklopljeni, platforma Canvas pa je ponovno dostopna.

Univerza je od dobavitelja zahtevala dodatna pojasnila, specifična za našo organizacijo. Incident obravnavamo skupaj s pristojnimi notranjimi službami in ga bomo priglasili Informacijskemu pooblaščencu. Obvestilo bomo po potrebi dopolnili, ko bomo prejeli dodatne preverjene informacije, hkrati pa zadnje informacije in nova dejstva v zvezi z incidentom lahko preverite tudi na posebni spletni strani obdelovalca, povezni z incidentom Security Incident Update & FAQs | Instructure.

Uporabnikom svetujemo posebno previdnost pri elektronskih sporočilih, ki se lahko sklicujejo na Canvas, študij, prijavo v sistem, spremembo gesla ali preverjanje računa. Ne odpirajte sumljivih povezav ali priponk ter nikomur ne posredujte gesel, prijavnih podatkov ali potrditvenih kod.

Za vprašanja glede varstva osebnih podatkov je na voljo dpo@uni-lj.si