Instructure offenbarte den Vorfall am 1. Mai. Im Zuge der Untersuchung nahm das Unternehmen mehrere Dienste vorübergehend vom Netz: Canvas Data 2 und Canvas Beta wurden kurzzeitig für Wartungsarbeiten abgeschaltet, ebenso Canvas Test. Canvas Data 2 war demnach ab dem 3. Mai wieder erreichbar, Beta ab dem 4. Mai; Canvas Test befand sich weiterhin in Wartung.

Laut Steve Proud, Chief Information Security Officer bei Instructure, zog das Unternehmen externe Forensik-Experten hinzu und leitete mehrere Maßnahmen zur Vorfallsbewältigung ein. Dazu gehörten der Entzug privilegierter Zugangsdaten und Zugriffstoken betroffener Systeme, das Einspielen von Patches, der vorsorgliche Austausch bestimmter Schlüssel — obwohl es keine Hinweise auf deren Missbrauch gab — sowie eine verstärkte Überwachung sämtlicher Plattformen. „Vielen Dank für Ihre Geduld, während wir an der Lösung dieser Angelegenheit arbeiten", schrieb Proud und bedauerte etwaige Unannehmlichkeiten. Auf eine Anfrage von Dark Reading reagierte das Unternehmen bis Redaktionsschluss nicht.

Als besonders sensibel gelten die zwischen Nutzern — etwa Studierenden, Lehrkräften und weiterem Personal — ausgetauschten Nachrichten. Denkbar ist, dass Angreifer daraus gewonnene Informationen als zusätzliches Druckmittel gegen Einrichtungen oder Familien einsetzen. Auch für nachgelagerte Phishing-Angriffe wären solche Daten verwertbar.

Denis Calderone, Chief Technology Officer der Sicherheitsfirma Suzu Labs, verweist gegenüber Dark Reading auf den Family Educational Rights and Privacy Act (FERPA) von 1974: Danach bleiben Schulen für den Schutz von Schülerdaten verantwortlich, selbst wenn diese auf einer Plattform liegen, die die Schule nicht kontrolliert. „Es gibt andere LMS-Anbieter, aber ein Wechsel weg von Canvas ist alles andere als trivial, und ich vermute, die meisten betroffenen Einrichtungen werden nirgendwohin abwandern", sagt er. Was die Einrichtungen sehr wohl steuern könnten, sei, welche Daten dort überhaupt gespeichert würden — entsprechend sollten sie ihre Aufbewahrungsrichtlinien jetzt überprüfen.

Ähnlich argumentiert Ensar Şeker, CISO bei SOCRadar: Werde eine Plattform wie Canvas tief in den Bildungsalltag eingebettet, „erbten" Lehrende und Lernende deren Sicherheitsniveau. Einrichtungen sollten davon ausgehen, dass jede cloudbasierte Kommunikationsplattform irgendwann von einem Datenleck betroffen sein könne, und ihre Richtlinien danach ausrichten. Konkret rät er dazu, sensible Gespräche in plattforminternen Nachrichtensystemen zu begrenzen, unnötige Datenhaltung zu minimieren, überall starke Identitätskontrollen wie Multifaktor-Authentifizierung durchzusetzen und vor einem Vorfall klare Kommunikationspläne für den Ernstfall bereitzuhalten.

Brian Bell, CEO des Anbieters FusionAuth, fordert zudem, dass Einrichtungen von ihren Anbietern Nachweise des eigenen Sicherheitsniveaus verlangen — etwa aktuelle Zertifizierungen, externe Audits, klare Zusagen zur Meldung von Sicherheitsvorfällen und dokumentierte Kontrollen für API-Schlüssel und Token. „Vertrauen in einen Anbieter kann keine einmalige Beschaffungsentscheidung sein", sagt er. „Im Bildungstechnologie-Bereich muss es fortlaufend neu verdient werden."