Important Update Regarding BLEND/Canvas Security Incident

photo of a laptop
  1. Home
  2. Announcements
  3. Important Update Regarding BLEND/Canvas Security Incident

Dear Austin ISD families and staff,

We are writing to inform you of a recent cybersecurity incident involving Instructure, the company that provides our Canvas/BLEND learning management system for grades 6-12 and staff. On Friday, May 1, Instructure alerted us that a threat actor gained unauthorized access to their systems starting on April 25, 2026.

What Happened 

Upon detecting the incident on April 29, Instructure immediately revoked the attacker's access and launched an investigation with outside forensics experts and law enforcement.

While the company originally reported no impact on our student data, they issued an update on Tuesday, May 5 indicating that our student information was, in fact, involved. Earlier this afternoon, as we were preparing communications to families regarding the initial incident, Canvas experienced another security incident. 

What Information May Have Been Involved

The latest security incident is currently under investigation so we have limited information at this time; however we want to be transparent about what information could potentially be exposed. 

In line with security standards, Austin ISD only shares the directory data necessary to create an account with the vendor. This means that the information involved is limited to certain identifying details, including:

  • Names
  • Email addresses
  • Student ID numbers
  • Messages sent among users within the platform

Crucially, Austin ISD does not share personally identifying information such as dates of birth, government identifiers (such as Social Security numbers) or financial information with the vendor.

Additionally, our Austin ISD security infrastructure uses Single Sign On (SSO), which masks passwords so they are not vulnerable to incidents such as this.

Measures Taken to Secure the Platform 

To date, Instructure has taken several aggressive steps to resolve the matter and protect user data:

  • The vulnerability initially used by the attacker was remediated, and compromised accounts were disabled.
  • They have rotated security keys, revoked privileged access tokens and deployed platform-wide patches.
  • The FBI, U.S. Cybersecurity and Infrastructure Security Agency (CISA), and international partners have been notified.
  • Increased monitoring and detection controls are now in place across all Blend platforms.

Austin ISD Technology has also taken additional steps to reduce the impact of this incident:

  • Removed access to the platform from the portal for students and staff.
  • Blocked any suspicious links reported as part of the incident. 

Actions Required from You 

At this time, no specific action is required to secure your account; however, we recommend the following best practices:

  • Be Vigilant: Because email addresses were involved, please be cautious of "phishing" emails—suspicious messages from unknown senders asking for personal information or clicking on unusual links.
  • Standard Security Hygiene: Continue to use strong, unique passwords for all online accounts.
  • Families are strongly encouraged to avoid accessing the platform outside the portal until we receive confirmation from the vendor that is safe to do so.
  • Review our Austin ISD responsible use policy

Because this is related to a security incident with the vendor, we do not have an estimated timeline for resolution.

We understand this news may be concerning. Please be assured that maintaining the security of our students' information is a top priority, and we will continue to provide updates as more information becomes available from Instructure.

Sincerely,

Dr. Oscar Rodriguez
Information Technology Officer
Austin ISD

Nelson Brites
Director of Cyber Security
Austin ISD

Actualización importante sobre el incidente de seguridad en BLEND/Canvas

Estimadas familias y personal del Austin ISD:

Les escribimos para informarles de un incidente reciente de ciberseguridad que ha afectado a Instructure, la empresa que proporciona el sistema de administración del aprendizaje BLEND/Canvas para los estudiantes y el personal de los grados 6.º a 12.º. El viernes 1.º de mayo, Instructure nos informó de que un actor malicioso había obtenido acceso no autorizado a sus sistemas desde el 25 de abril de 2026.

Qué ocurrió 

Tras detectar el incidente el 29 de abril, Instructure revocó inmediatamente el acceso del atacante y puso en marcha una investigación con expertos forenses externos y las autoridades policiales.

Aunque en un principio la empresa había informado de que los datos de nuestros estudiantes no se habían visto afectados, el martes 5 de mayo publicó una actualización en la que indicaba que, de hecho, la información de nuestros estudiantes sí se vio afectada. Hoy por la tarde, mientras preparábamos los comunicados a las familias sobre el incidente inicial, Canvas sufrió otro incidente de seguridad.

Qué información podría haberse visto afectada

El último incidente de seguridad se encuentra actualmente bajo investigación, por lo que disponemos de información limitada en este momento; no obstante, queremos ser transparentes en cuanto a qué datos podrían haberse visto expuestos. 

De acuerdo con las normas de seguridad, el Austin ISD solo comparte con el proveedor los datos de directorio necesarios para crear una cuenta. Esto significa que la información afectada se limita a ciertos datos identificativos, entre los que se incluyen:

  • Nombres
  • Direcciones de correo electrónico
  • Números de identificación de estudiante
  • Mensajes enviados entre usuarios dentro de la plataforma

Es muy importante destacar que el Austin ISD no comparte con el proveedor información de carácter personal, como fechas de nacimiento, identificadores oficiales (como los números de Seguro Social) ni datos financieros.

Además, nuestra infraestructura de seguridad del Austin ISD utiliza el inicio de sesión único (SSO, por sus siglas en inglés), que oculta las contraseñas para que no sean vulnerables a incidentes como este.

Medidas tomadas para proteger la plataforma

El día de hoy, Instructure ha tomado varias medidas enérgicas para resolver el asunto y proteger los datos de los usuarios:

  • La vulnerabilidad aprovechada por el atacante ha sido solucionada y se han desactivado las cuentas afectadas.
  • Se han renovado las claves de seguridad, se han revocado los permisos de acceso privilegiado y se han implementado medidas correctivas en toda la plataforma.
  • Se ha informado al FBI, a la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE. UU. (CISA, por sus siglas en inglés) y a los socios internacionales.
  • Ya se han implantado controles de monitoreo y detección reforzados en todas las plataformas de Blend.

El departamento de Tecnologías de la información del Austin ISD también ha tomado medidas adicionales para reducir el impacto de este incidente:

  • Eliminado el acceso a la plataforma desde el portal para estudiantes y personal.
  • Bloqueado todos los enlaces sospechosos que se han denunciado en relación con el incidente.

Medidas que usted debe tomar

En este momento, no es necesario que usted tome ninguna medida concreta para proteger su cuenta; no obstante, le aconsejamos que siga estas recomendaciones:

  • Manténgase alerta: Dado que se han visto afectadas direcciones de correo electrónico, tenga cuidado con los correos electrónicos de “phishing” —mensajes sospechosos de remitentes desconocidos que solicitan información personal o le invitan a hacer clic en enlaces extraños—.
  • Medidas básicas de seguridad: Siga utilizando contraseñas seguras y exclusivas para todas sus cuentas en línea.
  • Es altamente recomendable que las familias eviten acceder a la plataforma fuera del portal hasta que el proveedor nos confirme que es seguro hacerlo.
  • Consulte nuestra norma de uso responsable del Austin ISD

Dado que esto está relacionado con un incidente de seguridad del proveedor, no disponemos de un plazo estimado para su resolución.

Entendemos que esta noticia puede resultar preocupante. Les aseguramos que la seguridad de la información de nuestros estudiantes es nuestra máxima prioridad, y seguiremos informándoles a medida que recibamos más información de Instructure.

Atentamente,

Dr. Oscar Rodriguez
Responsable de Tecnologías de la Información
Austin ISD

Nelson Brites
Director de Ciberseguridad
Austin ISD

Tags