Instructure trifft Vereinbarung mit ShinyHunters, um Datenleck nach Canvas-Angriff zu verhindern

Zusammenfassung

Instructure, der Anbieter des weitverbreiteten Lernmanagementsystems Canvas, hat nach eigenen Angaben eine „Vereinbarung" mit der Erpressergruppe ShinyHunters getroffen, um die bei einem jüngsten Angriff entwendeten Daten von einer Veröffentlichung im Internet abzuhalten. Nach Unternehmensangaben nutzen mehr als 30 Millionen Lehrende und Lernende die Canvas-Plattform an über 8.000 Schulen und Universitäten weltweit. In einer Stellungnahme erklärte Instructure, die Cybercrime-Gruppe habe die gestohlenen Daten zurückgegeben und Protokolle vorgelegt, die deren Vernichtung bestätigen. Das Unternehmen teilte mit, ihm sei zugesichert worden, dass keine Kunden infolge des Vorfalls erpresst würden – weder öffentlich noch auf anderem Weg. Die Vereinbarung erstrecke sich auf alle betroffenen Kunden, sodass diese nicht selbst mit dem Angreifer in Kontakt treten müssten. ShinyHunters bekannte sich zu dem Angriff und gab an, mehr als 3,6 TB unkomprimierte Daten erbeutet zu haben. Instructure bestätigte gegenüber BleepingComputer, dass die Gruppe dafür eine Sicherheitslücke in der Free-for-Teacher-Umgebung ausnutzte – einer kostenlosen, eingeschränkten Version von Canvas für einzelne Lehrkräfte.

Laut Instructure soll die getroffene Vereinbarung sämtliche betroffenen Kunden abdecken. Das Unternehmen betonte, ihm sei mitgeteilt worden, dass niemand infolge des Vorfalls erpresst werde, und es bestehe kein Anlass für einzelne Kunden, eigenständig Kontakt mit dem Angreifer aufzunehmen. BleepingComputer verweist allerdings darauf, dass die Zahlung eines Lösegelds – wie das FBI wiederholt gewarnt hat – nicht garantiert, dass die Täter die gestohlenen Daten nicht doch an andere Kriminelle verkaufen oder erneut Erpressungsversuche unternehmen.

ShinyHunters drang nach dem ersten Vorfall ein weiteres Mal in die Systeme ein und nutzte dabei dieselbe Schwachstelle. Dabei verunstaltete die Gruppe Anmeldeseiten von Canvas und hinterließ eine Erpressungsnachricht, in der dem Unternehmen und seinen Kunden eine Frist zur Aufnahme von Lösegeldverhandlungen gesetzt wurde.

Zu den technischen Hintergründen machte Instructure zunächst keine näheren Angaben. BleepingComputer erfuhr jedoch, dass der Angreifer mehrere Cross-Site-Scripting-Schwachstellen (XSS) ausnutzte. ShinyHunters schleuste schädlichen JavaScript-Code ein, um XSS-Lücken in Funktionen für nutzergenerierte Inhalte auszunutzen. Dadurch gelang es der Gruppe, authentifizierte Administrator-Sitzungen zu übernehmen und privilegierte Aktionen auszuführen.

„Der unbefugte Akteur nahm Änderungen an den Seiten vor, die einigen Schülern und Lehrkräften bei der Anmeldung über Canvas angezeigt wurden", erklärte Instructure. Die Plattform sei inzwischen wiederhergestellt und vollständig wieder verfügbar. Das Unternehmen empfahl seinen Kunden, ihre Canvas-Umgebungen, Integrationen und administrativen Aktivitäten weiterhin regulär zu überwachen.

In der Zwischenzeit hat Instructure die Free-for-Teacher-Konten vorübergehend abgeschaltet und arbeitet nach eigenen Angaben daran, die Sicherheitsprobleme zu beheben, um künftige Vorfälle zu verhindern. Die Unternehmensführung kündigte an, in einem Webinar weitere Informationen zu dem Vorfall und zu den ergriffenen Schutzmaßnahmen zu geben.

Es ist nicht der erste Vorfall dieser Art bei dem Anbieter: Bereits zuvor hatte Instructure einen weiteren Einbruch offengelegt, der ebenfalls ShinyHunters zugeschrieben wird und bei dem Angreifer Zugriff auf Daten in der Salesforce-Instanz des Unternehmens erlangten. Zu den weiteren Zielen, zu denen sich ShinyHunters zuletzt bekannte, zählen unter anderem Google, Cisco, die Europäische Kommission, Match Group, Rockstar Games, ADT, Vimeo, McGraw-Hill, Medtronic und der spanische Modehändler Zara.

Instructure trifft Vereinbarung mit ShinyHunters, um Datenleck nach Canvas-Angriff zu verhindern

Ähnliche Artikel

Neueste Artikel