Instructure zahlt Lösegeld an ShinyHunters, um Canvas-Datenleck zu verhindern

Zusammenfassung

Der US-amerikanische Bildungstechnologie-Anbieter Instructure, Muttergesellschaft der Lernplattform Canvas, hat nach einem Einbruch in sein Netzwerk eine Vereinbarung mit einer dezentral organisierten Erpressergruppe getroffen. In einer am Montag veröffentlichten Mitteilung erklärte das Unternehmen aus Utah, es habe angesichts der „Sorge vor einer möglichen Veröffentlichung von Daten" eine Einigung mit dem „unbefugten Akteur" erzielt. Hinter dem Angriff steht laut Instructure die Erpressergruppe ShinyHunters, die kürzlich Canvas attackierte und dabei 3,65 TB Daten entwendete. Betroffen waren fast 9.000 Organisationen, darunter tausende Schulen und Universitäten. Mit der umstrittenen Entscheidung, ein Lösegeld zu zahlen, will Instructure die Drohung eines Datenlecks abwenden. Nach Angaben des Unternehmens deckt die Vereinbarung alle betroffenen Kunden ab; die entwendeten Daten seien zurückgegeben und ihre Löschung digital bestätigt worden. Zudem sei dem Unternehmen mitgeteilt worden, dass keiner seiner Kunden infolge des Angriffs gesondert erpresst werde. Die gestohlenen Datensätze enthielten Nutzernamen, E-Mail-Adressen, Kursbezeichnungen, Anmeldedaten und Nachrichten – Kursinhalte, Abgaben und Zugangsdaten seien hingegen nicht kompromittiert worden.

„Auch wenn es im Umgang mit Cyberkriminellen niemals vollständige Sicherheit gibt, hielten wir es für wichtig, jeden Schritt in unserer Macht zu unternehmen, um den Kunden im Rahmen des Möglichen zusätzliche Gewissheit zu geben", erklärte Instructure. Das Unternehmen arbeitet nach eigenen Angaben mit spezialisierten Dienstleistern zusammen, um die forensische Analyse zu unterstützen, die eigene Sicherheitslage zu verbessern und die betroffenen Daten umfassend zu prüfen.

Der Angriff auf Canvas, ein verbreitetes webbasiertes Lernmanagementsystem, ereignete sich nach Darstellung von Instructure kürzlich und führte zum Diebstahl von 3,65 TB Daten. Betroffen waren nahezu 9.000 Organisationen.

Zunächst galt der Einbruch als eingedämmt. Am 7. Mai 2026 wurde jedoch eine zweite Welle unbefugter Aktivitäten festgestellt, die demselben Vorfall zugeordnet wird: An rund 330 Einrichtungen wurden die Anmeldeseiten von Canvas mit Erpressernachrichten verändert. Instructure erhielt eine Frist bis zum 12. Mai 2026, um über ein Lösegeld zu verhandeln oder ein Datenleck zu riskieren.

Den Angreifern soll es gelungen sein, eine nicht näher bezeichnete Schwachstelle „im Zusammenhang mit Support-Tickets" in der Umgebung „Free-for-Teacher" auszunutzen, um sich Erstzugang zu verschaffen. Auf diesem Weg sollen rund 275 Millionen Datensätze abgeflossen sein, die Nutzernamen, E-Mail-Adressen, Kursbezeichnungen, Anmeldeinformationen und Nachrichten enthielten. Instructure betont, dass Kursinhalte, Abgaben und Zugangsdaten nicht kompromittiert wurden.

Als Reaktion hat das Unternehmen die „Free-for-Teacher"-Konten vorübergehend abgeschaltet. Die Art der Schwachstelle legte Instructure nicht offen, erklärte aber, privilegierte Zugangsdaten und Zugriffstoken für betroffene Systeme widerrufen, interne Schlüssel ausgetauscht, die Erstellung von Token eingeschränkt und zusätzliche Sicherheitsmaßnahmen eingeführt zu haben.

Das Sicherheitsunternehmen Halcyon warnte vor den Folgen des Abflusses: Die entwendeten Daten lieferten Angreifern genügend persönlichen Kontext, um gezielte Phishing-Kampagnen gegen Beschäftigte, Schüler und Eltern zu führen. Geleakte Datensätze könnten dazu genutzt werden, sich bei Folgeangriffen als Schuladministratoren, IT-Support oder Stellen für Studienfinanzierung auszugeben. Halcyon empfahl den betroffenen Einrichtungen, umgehend Phishing-Warnungen und direkte Mitteilungen herauszugeben.

Instructure zahlt Lösegeld an ShinyHunters, um Canvas-Datenleck zu verhindern

Ähnliche Artikel

Neueste Artikel