Die Dimensionen des Datenlecks sind beträchtlich: Laut den Angaben der Angreifer wurden Namen, E-Mail-Adressen, private Nachrichten, Einschreibungsdaten sowie weitere personenbezogene Informationen kompromittiert. Die gestohlenen Daten umfassen zwischen zehntausenden und mehreren Millionen Datensätzen pro Institution, abhängig von der Größe der jeweiligen Einrichtung.
Instructure bestätigte Anfang der Woche die Cyberattacke und räumte ein, dass Nutzerdaten offengelegt wurden. Die genauen Umstände des Angriffs wurden jedoch lange nicht vollständig kommuniziert. Die Hackergruppe ShinyHunters veröffentlichte daraufhin eine detaillierte Liste aller betroffenen Institutionen und Datensatzmengen, um Druck auf Instructure auszuüben – ein klassisches Vorgehen bei Erpressungsversuchen.
Nach Angaben der Angreifer nutzten sie verschiedene Canvas-Funktionen zum Datenraub: DAP-Queries (Data Analytics Platform), Provisioning Reports und User APIs. Damit gelang es den Kriminellen, hunderte Gigabyte an Nutzerdaten, Nachrichten und Anmeldeinformationen zu harvesten.
Mehrere internationale Hochschulen haben bereits reagiert. Die University of Colorado Boulder warnte ihre Nutzer vor dem nationwide event, während Rutgers teilte mit, keine direkte Benachrichtigung über eine Kompromittierung erhalten zu haben. Tilburg University kündigte eine laufende Untersuchung an.
Deutsche Institutionen, die Canvas betreiben, sollten umgehend handeln: Prüfung der eigenen Systems, Benachrichtigung aller Nutzer und ggf. Meldung an Datenschutzbehörden sind erforderlich. Die DSGVO sieht vor, dass bei personenbezogenen Daten eine Meldepflicht innerhalb von 72 Stunden besteht – Verzögerungen können zu erheblichen Bußgeldern führen. Das BSI dürfte die Situation überwachen und zeitnah entsprechende Handlungsempfehlungen ausgeben. Für Schulen und Universitäten ist dies ein Weckruf bezüglich Cloud-Security und Third-Party-Risiken.