ShinyHunters behaupten Diebstahl von 280 Millionen Datensätzen aus Canvas-Instanzen

Zusammenfassung

Der Anbieter von Bildungstechnologie Instructure ist Ziel eines Cyberangriffs geworden, bei dem nach Angaben der Angreifer Daten von Studierenden und Beschäftigten erbeutet wurden. Instructure ist vor allem für sein Lernmanagementsystem Canvas bekannt, mit dem Schulen und Hochschulen Kursarbeit, Aufgaben, Benotung und Kommunikation verwalten. In diesem Monat teilte das Unternehmen mit, dass es einen Cyberangriff untersuche, und räumte später einen Datenabfluss ein: Betroffen waren Namen, E-Mail-Adressen und private Nachrichten von Nutzern. Die Erpressergruppe ShinyHunters bekannte sich zu dem Angriff und behauptet, 280 Millionen Datensätze von Studierenden, Lehrkräften und Beschäftigten gestohlen zu haben. Die Täter veröffentlichten gegenüber BleepingComputer eine Liste mit 8.809 Schulbezirken, Universitäten und Bildungsplattformen, deren Canvas-Instanzen angeblich betroffen sind, samt der jeweiligen Zahl an Datensätzen. Diese reichen von Zehntausenden bis zu mehreren Millionen pro Einrichtung. BleepingComputer nennt keine der aufgeführten Organisationen namentlich, da nicht unabhängig überprüft wurde, ob sie tatsächlich betroffen sind. Während Instructure auf wiederholte Anfragen nicht reagierte, äußerten sich einzelne Universitäten bereits zu möglichen Auswirkungen.

Instructure ist ein cloudbasiertes Unternehmen für Bildungstechnologie und vor allem durch sein Lernmanagementsystem Canvas bekannt. Damit organisieren Schulen und Hochschulen Kursarbeit, Aufgaben, Benotung und die Kommunikation mit Lernenden. Nachdem das Unternehmen zunächst die Untersuchung eines Cyberangriffs angekündigt hatte, bestätigte es anschließend einen Datenabfluss, bei dem Namen, E-Mail-Adressen und private Nachrichten von Nutzern offengelegt wurden.

Zu dem Angriff bekannte sich die Erpressergruppe ShinyHunters. Sie gibt an, 280 Millionen Datensätze von Studierenden, Lehrkräften und Beschäftigten erbeutet zu haben. Mittlerweile veröffentlichten die Täter eine Liste von 8.809 Schulbezirken, Universitäten und Bildungsplattformen, deren Canvas-Instanzen angeblich betroffen sein sollen, und übermittelten BleepingComputer die jeweilige Zahl der Datensätze pro Einrichtung. Diese bewegen sich zwischen Zehntausenden und mehreren Millionen.

BleepingComputer nennt die in der Liste aufgeführten Organisationen nicht namentlich, da nicht unabhängig geprüft werden konnte, ob sie von dem Vorfall betroffen sind.

Nach Darstellung der Angreifer wurden die Daten über Canvas-Exportfunktionen abgegriffen, darunter DAP-Abfragen, Provisioning-Berichte und Nutzer-APIs. Auf diesem Weg sollen sie mehrere Hundert Gigabyte an Nutzerdaten, Nachrichten und Einschreibungsdaten gesammelt haben.

Während Instructure auf wiederholte E-Mail-Anfragen zu dem Vorfall nicht reagierte, begannen einzelne Hochschulen, sich öffentlich zu möglichen Folgen zu äußern. Die University of Colorado Boulder erklärte, sie sei sich eines Datenabflusses bei Instructure, dem Mutterkonzern von Canvas, bewusst; es handle sich um ein landesweites Ereignis, von dem mehrere Einrichtungen betroffen seien.

Die Rutgers University teilte mit, bislang sei sie über keine direkte Betroffenheit ihres Campus informiert worden; Canvas stehe Lehrkräften, Beschäftigten und Studierenden weiterhin zur Verfügung. Die Universität Tilburg erklärte, eine Untersuchung laufe, um zu klären, was genau geschehen sei und welche Systeme betroffen seien. Ob Daten von Studierenden und Beschäftigten der Universität betroffen seien, sei noch nicht bestätigt; weitere Fragen seien an den Anbieter gerichtet worden.

ShinyHunters behaupten Diebstahl von 280 Millionen Datensätzen aus Canvas-Instanzen

Ähnliche Artikel

Neueste Artikel