HackerangriffeRansomwareSchwachstellen

Instructure zahlt Lösegeld an ShinyHunters: 30 Millionen Nutzer betroffen

Von CyberDeutsch Redaktion
Instructure zahlt Lösegeld an ShinyHunters: 30 Millionen Nutzer betroffen
Zusammenfassung

Der Bildungstechnologie-Konzern Instructure, Betreiber der weltweit genutzten Learning-Management-Plattform Canvas, hat sich auf eine Vereinbarung mit der Cyber-Erpressungsgruppe ShinyHunters geeinigt, um die Veröffentlichung gestohlener Daten zu verhindern. Betroffen von der Sicherheitsverletzung sind über 30 Millionen Nutzer – Lehrkräfte und Schüler – an mehr als 8.000 Schulen und Universitäten weltweit. Die Cyberkriminellen exploitierten Sicherheitslücken in der kostenlosen Canvas-Version für Lehrkräfte, um etwa 3,6 Terabyte an Daten zu stehlen, und drangen später erneut ein, um Anmeldeseiten zu manipulieren und Erpressungsbotschaften zu hinterlassen. Instructure bestätigte, dass Cross-Site-Scripting-Anfällbarkeiten ausgenutzt wurden, um administrativen Zugriff zu erlangen. Obwohl das Unternehmen mit der Vereinbarung die öffentliche Veröffentlichung und Erpressung seiner Kunden abwendete, warnt das FBI, dass solche Zahlungen nicht garantieren, dass Cyberkriminelle gestohlene Daten nicht an andere verkaufen. Für deutsche Nutzer, Schulen und Universitäten, die Canvas einsetzen, unterstreicht dieser Fall die Notwendigkeit verstärkter Sicherheitsüberwachung und die Risiken cloud-basierter Bildungsplattformen.

Instructure bestätigt nach wochenlanger Ungewissheit, dass es sich mit der Erpressergruppe ShinyHunters geeinigt hat. Das Unternehmen teilte mit, dass die Cyberkriminellen die gestohlenen Daten zurückgegeben und Lösch-Protokolle bereitgestellt haben, die die Vernichtung der Dateien bestätigen. Damit sollen Kunden vor weiterer Erpressung geschützt werden – sowohl öffentlich als auch individuell.

Doch diese Zusage ist mit Vorsicht zu genießen. Das FBI warnt seit Jahren davor, dass Lösegeld-Zahlungen keine Garantie bieten. Häufig verkaufen Cyberkriminelle gestohlene Daten parallel an andere Akteure weiter oder versuchen erneut zu erpressen. Im Fall von Instructure deutet die Angreifer-Historie darauf hin, dass solche Risiken real sind.

Die technischen Details zeigen das Ausmaß der Sicherheitslücken: ShinyHunters nutzte XSS-Anfällbarkeiten in benutzergenerierten Inhalten der Canvas-Plattform. Durch das Einschleusen von bösartigem JavaScript konnten die Angreifer authentifizierte Admin-Sitzungen abfangen und privilegierte Aktionen ausführen. Dies gelang ihnen nicht nur beim initialen Datenraub, sondern auch bei einem zweiten Angriff am 7. Mai, als sie Canvas-Login-Portale veränderten und Erpressungsbotschaften hinterließen.

Instructure reagierte durch die vorübergehende Abschaltung von Free-for-Teacher-Konten und kündigte an, die Sicherheitslücken zu beheben. Ein Webinar am 13. Mai soll weitere Details zur Vorfallsanalyse und zu geplanten Schutzmaßnahmen liefern.

Besorgnis erregend ist die wiederkehrende Beteiligung von ShinyHunters an hochkarätigen Breaches. Neben Google, Cisco und Rockstar Games wurden auch die Europäische Kommission, ADT und andere bedeutende Organisationen Opfer dieser Gruppe. Der Fall Instructure ist nicht isoliert – er ist Teil einer wachsenden Serie koordinierter Angriffe auf kritische IT-Infrastrukturen.

Für deutsche Bildungseinrichtungen bedeutet dies: Canvas ist weit verbreitet, und die dokumentierten Schwachstellen könnten auch Schulen und Hochschulen im deutschsprachigen Raum treffen. Institutionen sollten ihre Canvas-Umgebungen auf verdächtige Aktivitäten prüfen und die bevorstehenden Security-Updates zeitnah einspielen.

Ähnliche Artikel