Datenleck bei Infinite Campus betrifft 137.100 Schulmitarbeiter-Konten

Zusammenfassung

Beim US-Bildungstechnologieanbieter Infinite Campus sind im März personenbezogene Daten aus mehr als 137.000 Konten von Schulmitarbeitern abgeflossen. Nach Angaben des Datenpannen-Benachrichtigungsdienstes Have I Been Pwned betrifft der Vorfall 137.100 Konten. Infinite Campus betreibt ein weit verbreitetes Schülerverwaltungssystem für den K-12-Bereich und versorgt nach eigenen Angaben mehr als 3.200 Schulbezirke in 46 US-Bundesstaaten mit Datenmanagement für 11 Millionen Schüler. Das Unternehmen hatte Kunden damals über die Verletzung informiert, ohne die Attacke einer bestimmten Gruppe zuzuschreiben. Es beschrieb den Angreifer jedoch als Teil einer Gruppierung, die dafür bekannt sei, die Salesforce-Konten von Hunderten Unternehmen ins Visier zu nehmen. Nach Darstellung von Infinite Campus zielte der Angriff auf die eigene Salesforce-Instanz mit Namen und Kontaktdaten von Schulmitarbeitern; Kundendatenbanken seien nach bisherigem Kenntnisstand nicht kompromittiert worden.

Infinite Campus teilte betroffenen Kunden im März mit, dass die offengelegten Daten Namen und Kontaktdaten von Schulmitarbeitern sowie weitere öffentlich verfügbare Informationen umfassen. Das Unternehmen erklärte zugleich, es habe keine Hinweise darauf, dass Kundendatenbanken kompromittiert worden seien. Wörtlich beschrieb Infinite Campus das Ziel des Angriffs als die eigene Salesforce-Instanz, die Namen und Kontaktinformationen von Schulmitarbeitern enthalte; der Großteil seien Verzeichnisangaben, wie sie häufig auf Schulwebsites zu finden seien.

Weitere technische Details zum Ablauf veröffentlichte das Unternehmen nicht. Die Erpressungsgruppe ShinyHunters reklamierte den Vorfall jedoch auf ihrer Datenleck-Seite für sich und veröffentlichte ein 1,2 Gigabyte großes Archiv mit Dokumenten. Dieses Material soll laut der Gruppe Salesforce-Datensätze mit personenbezogenen Informationen sowie weitere interne Unternehmensdaten enthalten.

Have I Been Pwned hat die geleakten Daten ausgewertet und heute mitgeteilt, dass Informationen aus 137.100 Konten betroffen sind. Nach Angaben des Dienstes umfassen die Datensätze eindeutige Namen, E-Mail-Adressen, Arbeitgeber, Berufsbezeichnungen, Telefonnummern, Postanschriften, Benutzernamen und Support-Tickets. Have I Been Pwned verwies zudem darauf, dass Infinite Campus in seinen Benachrichtigungen erklärt habe, die offengelegten Informationen bestünden weitgehend aus Namen und Kontaktdaten von Schulmitarbeitern und überwiegend aus Verzeichnisdaten, die häufig bereits auf Schulwebsites stünden.

Infinite Campus ist ein EdTech-Unternehmen, das ein Schülerinformationssystem für mehr als 3.200 Schulbezirke in den Vereinigten Staaten anbietet. Nach Unternehmensangaben verwaltet die Plattform Daten zu 11 Millionen Schülern in 46 Bundesstaaten. Vor diesem Hintergrund ist der Vorfall für einen breit eingesetzten Anbieter im Bildungsbereich relevant, auch wenn Infinite Campus den Umfang der kompromittierten Daten deutlich enger fasst als eine Kompromittierung von Kundendatenbanken.

Der Fall erinnert an den PowerSchool-Hack vom Dezember 2024, fällt bei den Auswirkungen laut Quelltext aber deutlich kleiner aus: Bei PowerSchool waren 62 Millionen Schüler betroffen. Der Täter hinter diesem Angriff, ein 19-jähriger College-Student aus Massachusetts, wurde nach einem Schuldbekenntnis im Mai 2025 zu vier Jahren Haft verurteilt.

ShinyHunters hat im vergangenen Jahr zahlreiche Salesforce-Kunden angegriffen und nach eigenen Angaben nach Einbrüchen bei Hunderten Unternehmen in dem Salesloft-Drift-Hack und der Salesforce-Aura-Kampagne mehr als 1,5 Milliarden Datensätze entwendet. Zuletzt beanspruchte die Gruppe auch eine neue Kampagne zum Datendiebstahl für sich, die eine Zero-Day-Schwachstelle in Oracles Unternehmenssoftware PeopleSoft ausnutzen soll, um Daten von mehr als 100 Organisationen zu stehlen, darunter die University of Nottingham.

Datenleck bei Infinite Campus betrifft 137.100 Schulmitarbeiter-Konten

Ähnliche Artikel

Neueste Artikel