Der Canvas-Eigentümer Instructure hat bestätigt, dass er nach dem massiven Cyberangriff, der Schulen und Universitäten während der Prüfungswoche störte und Bedenken hinsichtlich möglicherweise gestohlener Schülerdaten offenbarte, Hacker bezahlt hat.
Der Angriff, der von der Cyberkriminalitätsgruppe ShinyHunters beansprucht wird, führte Anfang dieses Monats zu weitreichenden Ausfällen auf der Canvas-Lernmanagement-Plattform und schloss Schüler und Lehrkräfte von Kursarbeiten, Aufgaben, Vorlesungsmaterialien und Prüfungen an Tausenden von Institutionen weltweit aus.
In einem public statement , räumte Instructure ein, dass es Verhandlungen mit den Angreifern aufgenommen und letztlich die Lösegeldforderung gezahlt hat, um die Veröffentlichung gestohlener Daten zu verhindern. Das Unternehmen erklärte, die Entscheidung sei nach Rücksprache mit Cybersicherheitsexperten und Strafverfolgungsbehörden getroffen worden.
Das Unternehmen hat nicht öffentlich bekannt gegeben, wie viel Geld gezahlt wurde oder ob die Angreifer nachweisen konnten, dass die gestohlenen Daten danach gelöscht wurden.
Der Bruch traf zu einem der schlimmsten Zeiten für Bildungseinrichtungen auf, nämlich während der Abschlussprüfungen und der Abschlusszeit. Schüler in Nordamerika, Europa, Australien und Asien berichteten, dass sie während des Vorfalls keinen Zugang zu Lernmaterialien, keine Abgabe von Aufgaben oder Prüfungen erhalten konnten, da Schulen während des Vorfalls den Canvas-Zugang vorübergehend deaktivierten.
Mehrere Universitäten verschoben Prüfungen oder verlängerten Fristen, nachdem der Ausfall die Kurssysteme störte. Einige Institutionen trennten Canvas vollständig von internen Netzwerken, während sie eine mögliche Exposition von Studierenden- und Mitarbeiterdaten untersuchten.
ShinyHunters behauptete, der Angriff habe fast 9.000 Schulen betrafen und Daten offengelegt, die mit etwa 275 Millionen Nutzern weltweit verknüpft sind. Laut der Gruppe enthielten die gestohlenen Informationen Namen, E-Mail-Adressen, Studentenausweise und Milliarden privater Nachrichten, die über Canvas-Systeme ausgetauscht wurden.
Instructure hatte zuvor erklärt, es gebe keine Beweise dafür, dass Passwörter, Finanzinformationen, Sozialversicherungsnummern oder von der Regierung ausgestellte Identifikatoren kompromittiert wurden. Das Unternehmen führte die Sicherheitslücke auf Probleme mit “Free-For-Teacher”-Konten zurück, die mit der Plattform verbunden sind.
Während des Vorfalls wurden einige Nutzer, die versuchten, sich bei Canvas einzuloggen, Berichten zufolge auf Lösegeldnachrichten von ShinyHunters weitergeleitet, die Verhandlungen vor einer Frist für das Leak forderten. Die Angreifer drohten, gestohlene Daten öffentlich zu veröffentlichen, falls keine Zahlung erfolge.
Die Entscheidung, die Hacker zu bezahlen, wird wahrscheinlich eine Debatte unter Cybersicherheitsexperten und Pädagogen auslösen. Strafverfolgungsbehörden entmutigen im Allgemeinen Lösegeldzahlungen, da sie zukünftige Angriffe fördern können und keine Garantie dafür geben, dass gestohlene Daten tatsächlich vernichtet werden.
Dennoch wägen Organisationen, die mit groß angelegten Erpressungsvorfällen konfrontiert sind, oft das Risiko ab, dass sensible Informationen öffentlich werden, insbesondere wenn Millionen von Schülern, Lehrern und Mitarbeitern betroffen sein könnten.
Der Vorfall ist zu einem der größten bekannten Cyberangriffe gegen den Bildungssektor geworden und hat die Besorgnis über die wachsende Abhängigkeit von zentralisierten Bildungstechnologieplattformen neu belebt. Sicherheitsforscher warnen, dass große Lernmanagementsysteme zunehmend attraktive Ziele geworden sind, weil sie enorme Mengen sensibler persönlicher und institutioneller Daten an einem Ort speichern.
Es bleiben auch Fragen offen, ob alle gestohlenen Daten nach der Zahlung gesichert wurden. Cybersicherheitsexperten weisen darauf hin, dass Ransomware- und Erpressungsgruppen häufig Kopien gestohlener Informationen selbst nach Abschluss der Verhandlungen behalten, wodurch die Opfer zukünftigen Lecks oder dem Weiterverkauf in Untergrundforen ausgesetzt sind.
Instructure teilte mit, dass es weiterhin mit forensischen Ermittlern und Strafverfolgungsbehörden zusammenarbeitet und gleichzeitig Anzeichen überwacht, dass die gestohlenen Daten weiterhin online auftauchen könnten.