Instructure hatte in seiner öffentlichen Kommunikation eine schnelle Reaktion betont. Laut der an Kunden verschickten Chronologie entdeckte das Unternehmen den Einbruch erst vier Tage später, am 29. April, und entzog den Angreifern sofort den Zugang. Bereits am 30. April waren jedoch weitere Schritte gegen „zusätzliche verdächtige Zugriffe" nötig.
Am 2. Mai erklärte Sicherheitschef Steve Proud: „Wir gehen davon aus, dass der Vorfall eingedämmt ist." Er verwies auf Maßnahmen wie das Einspielen von Patches und das Austauschen von Schlüsseln. Am 6. Mai bekräftigte das Unternehmen, man sehe „keine andauernde unbefugte Aktivität".
Dem widersprachen Betroffene online. Es kursiert eine neue Erpressernachricht von ShinyHunters, in der die Angreifer behaupten, das Unternehmen erneut infiziert zu haben. Darin wird betroffenen Schulen direkte Verhandlung angeboten, und die Frist zur Veröffentlichung wurde vom zuvor genannten 6. Mai auf den 12. Mai verschoben.
Ein betroffener Student schickte Dark Reading Screenshots der neuen Erpresserseite. Dennis Pomazanov, der am Georgia Tech studiert, schilderte: „Als ich meine Noten ansehen wollte, wurde ich statt der normalen Canvas-Seite von der Erpressernachricht empfangen." Auch der Kontakt zu Professoren und Kommilitonen über Canvas sei zeitweise nicht möglich gewesen.
In einer Stellungnahme vom 8. Mai bestätigte Instructure die Störungen. Am 7. Mai habe man Canvas erneut offline genommen, um den laufenden Vorfall einzudämmen. „Wir haben bestätigt, dass der unbefugte Akteur ein Problem im Zusammenhang mit unseren Free-for-Teacher-Konten ausgenutzt hat", schrieb ein Sprecher, ohne die genaue Schwachstelle zu nennen. Man habe sich deshalb entschieden, diese Konten vorübergehend abzuschalten; Canvas sei inzwischen wieder vollständig verfügbar.
Canvas ist eine der am weitesten verbreiteten Plattformen im Bildungswesen. Branchenanalysten beziffern den Marktanteil im LMS-Segment auf 47 Prozent unter Hochschulen in Nordamerika und 28 Prozent im Schulbereich (K-12).
ShinyHunters behauptet, rund 3,65 Terabyte an Daten erbeutet zu haben – Namen, E-Mail-Adressen, Matrikelnummern sowie „mehrere Milliarden privater Nachrichten" zwischen Studierenden und Lehrkräften. Betroffen seien knapp 9.000 Einrichtungen mit etwa 275 Millionen Personen. Eine von der Leak-Seite der Gruppe kursierende Opferliste umfasst neben nordamerikanischen Hochschulen und Schulen auch Bildungseinrichtungen in Europa und Mittelamerika sowie Großkonzerne wie Amazon und Apple, Gesundheitseinrichtungen und staatliche Stellen. Dark Reading lud die Liste nicht selbst herunter, glich sie aber mit Angaben von Sicherheitsforschern ab.
Nach Darstellung von Instructure und seinen Kunden seien zwar persönliche Daten gestohlen worden, besonders sensible Informationen wie Passwörter, Geburtsdaten und Finanzdaten jedoch möglicherweise nicht. Brisant bleibt der Umfang: Durch die Kompromittierung Tausender Schulen verfügen die Angreifer über Daten von Minderjährigen und drohen mit deren Veröffentlichung.
„Wenn ein Datenleck personenbezogene Daten von Minderjährigen betrifft, steigen Schwere und Risiko erheblich", sagt Darren Guccione, CEO und Mitgründer von Keeper Security. Anders als eine kompromittierte Kreditkarte oder ein geändertes Passwort ließen sich Name, Geburtsdatum, Schulakten und private Mitteilungen eines Kindes nicht ersetzen. Die Folgen könnten über Jahre durch Identitätsbetrug und gezielte Social-Engineering-Angriffe nachwirken.