US-Heimatschutzausschuss verlangt Aufklärung von Instructure zu Canvas-Angriff und Datenleck

Nach Darstellung von Instructure begann der Vorfall mit einer Kompromittierung am 29. April, die Werkzeuge lahmlegte, die auf API-Schlüssel angewiesen sind. Bis zum 3. Mai waren die Dienste wiederhergestellt. Doch am 7. Mai musste das Unternehmen sie erneut abschalten, nachdem die Angreifer zurückgekehrt waren und die Login-Portale von Schulen verändert hatten.

Die Verantwortung für den Angriff übernahm die Erpressergruppe ShinyHunters. Sie soll 3,65 Terabyte an Daten gestohlen haben, darunter persönliche Informationen von 275 Millionen Schülern, Lehrkräften und weiteren Personen an etwa 9.000 Bildungseinrichtungen.

In dieser Woche teilte Instructure mit, eine Vereinbarung getroffen zu haben, der zufolge die gestohlenen Daten zurückgegeben und von den Servern der Angreifer gelöscht werden. Das Unternehmen erklärte zudem, bei beiden Einbrüchen sei eine Schwachstelle in den sogenannten Free-For-Teacher-Konten ausgenutzt worden, und der Vorfall sei vollständig eingedämmt.

„Daher haben wir die schwierige Entscheidung getroffen, die Free-For-Teacher-Konten vorübergehend abzuschalten. Diese Konten waren ein zentraler Bestandteil unserer Plattform, und wir sind entschlossen, die Probleme mit ihnen zu beheben“, erklärte das Unternehmen.

Der Heimatschutzausschuss lädt Instructure nun zu einer Unterrichtung und verlangt Antworten dazu, wie es zu dem Einbruch kam, welche Datenarten betroffen waren und wie das Unternehmen den Angriff beendete. Die Unterrichtung solle die Umstände beider Einbrüche, Art und Umfang der abgeflossenen Daten, die ergriffenen und laufenden Maßnahmen zur Eindämmung der Bedrohung und zur Benachrichtigung betroffener Einrichtungen sowie die Angemessenheit der Zusammenarbeit des Unternehmens mit den föderalen Strafverfolgungsbehörden und der CISA behandeln, heißt es in dem Schreiben des Ausschusses.

„Der Ausschuss nimmt sowohl den durch diesen Vorfall verursachten Schaden für Schüler und Bildungseinrichtungen als auch die weiterreichenden Folgen dafür ernst, wie der Bildungstechnologie-Sektor Cybersicherheitsrisiken verwaltet und offenlegt“, heißt es weiter.

Laut Ausschuss betraf die Störung vom 7. Mai Universitäten und Schulbezirke in elf US-Bundesstaaten. Frühere Angriffe von ShinyHunters auf Ticketmaster, AT&T und verschiedene Bildungseinrichtungen wertet der Ausschuss als Beleg für die von der Gruppe ausgehende Gefahr.

„Da Schüler und Studierende an mehr als 8.000 Einrichtungen Abschlussprüfungen und Fristen zum Semesterende bewältigen, ist die Störung einer Plattform, die nach Instructures eigenen Angaben weltweit mehr als 30 Millionen aktive Nutzer bedient, eine Angelegenheit von nationaler Bedeutung“, heißt es in dem Schreiben.