Der erste Angriff auf Canvas begann am 29. April mit einer Kompromittierung von API-Keys, die zahlreiche Werkzeuge der Plattform lahmlegten. Instructure reaktivierte die Dienste zwar bis zum 3. Mai, musste sie jedoch eine Woche später erneut offline nehmen, nachdem die Angreifer zurückkehrten und Schul-Login-Portale verunstalteten. Beide Vorfälle — so das Unternehmen — basierten auf einer Sicherheitslücke in seinen kostenlosen “Free-For-Teacher”-Konten.
Die Hackergruppe ShinyHunters reklamierte die Attacke für sich und kündigte die Veröffentlichung von 3,65 Terabyte Daten an. Dies hätte verheerend sein können: Bei mehr als 8.000 betroffenen Institutionen in 11 US-Bundesstaaten nutzen weltweit über 30 Millionen aktive Benutzer die Plattform — viele davon gerade während Prüfungen und zum Ende des Semesters.
Das US House Committee on Homeland Security nimmt den Vorfall nun ernst und verlangt detaillierte Antworten: Wie kam es zur Intrusion? Welche Datentypen und -mengen waren betroffen? Wie läuft die Benachrichtigung betroffener Institutionen ab? Und wie arbeitete Instructure mit Behörden wie CISA zusammen? Das Komitee verweist zudem auf die Vorgeschichte von ShinyHunters, das bereits Ticketmaster, AT&T und andere Bildungseinrichtungen ins Visier nahm.
Instructure gab diese Woche bekannt, dass es eine Vereinbarung mit den Hackern erreichte, um die gestohlenen Daten zurückzubekommen und zu löschen. Doch der Preis ist hoch: Das Unternehmen fahrt seine Free-For-Teacher-Konten herunter — ein Kernservice, der Schulen ermöglichte, Canvas kostenlos zu nutzen.
Für deutsche Bildungseinrichtungen und das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist dieses Szenario ein Weckruf. Wer Cloud-Dienste für sensible Nutzerdaten einsetzt — besonders Minderjähriger — muss sicherstellen, dass Anbieter höchste Sicherheitsstandards erfüllen und Sicherheitsvorfälle gemäß DSGVO korrekt melden.