Hacker haben eine umfangreiche Liste von Bildungseinrichtungen veröffentlicht, die angeblich von der zunehmenden Canvas-LMS-Datenpanne betroffen sind, darunter Harvard University, MIT, Oxford University und Tausende von Schulen in mehreren Ländern.
Das Leck steht in Verbindung mit der Cyberkriminalitätsgruppe ShinyHunters, die behauptet, Systeme gehackt zu haben, die mit Canvas, der von Instructure entwickelten Lernmanagement-Plattform, verbunden sind. Die Angreifer behaupten, dass der Vorfall fast 9.000 Institutionen und bis zu 275 Millionen Menschen weltweit betrifft.
Laut von der Gruppe veröffentlichten Akten erscheinen etwa 8.809 Bildungsorganisationen auf der Liste der geleakten Opfer. Die Institutionen erstrecken sich über mindestens 10 Länder, wobei die Mehrheit in den Vereinigten Staaten liegt, gefolgt von Australien, dem Vereinigten Königreich und Teilen Europas.
Zu den angeblich betroffenen Organisationen gehören weltweit anerkannte Universitäten, darunter Harvard, Oxford, MIT, Princeton und die University of Pennsylvania. Die Liste enthält außerdem weiterführende Schulen, berufliche Einrichtungen und mehrere Unternehmen, von denen angenommen wird, dass sie Canvas für Mitarbeiterschulungsprogramme nutzen.
ShinyHunters behauptet, der Datenverstoß habe große Mengen sensibler Bildungsdaten offengelegt, darunter Namen, E-Mail-Adressen, Schüler-ID-Nummern und Milliarden privater Nachrichten, die zwischen Schülern, Lehrern und Administratoren über die Plattform ausgetauscht wurden.
Instructure hat einen Cybersicherheitsvorfall mit Canvas bestätigt, aber das Ausmaß der Behauptungen der Angreifer nicht bestätigt. Das Unternehmen erklärte, dass offengelegte Informationen identifizierende Daten und Nutzerkommunikation umfassen könnten, obwohl es derzeit keine Beweise dafür gebe, dass Passwörter, Finanzdaten, Geburtsdaten oder von der Regierung ausgegebene Identifikatoren kompromittiert wurden.
Das Unternehmen teilte außerdem mit, dass es privilegierte Zugangsdaten widerrufen, Sicherheitsschlüssel rotiert, betroffene Systeme gepatcht und die Überwachung verstärkt hat, während es mit externen forensischen Spezialisten zusammenarbeitet, um den Vorfall zu untersuchen.
Die Sicherheitslücke hat im gesamten Bildungssektor Besorgnis ausgelöst, da Canvas eines der weltweit am weitesten verbreiteten Lernmanagementsysteme ist. Mehr als 40 % der Hochschulen und Universitäten sind Berichten zufolge auf die Plattform für Kursarbeit, Aufgaben, Botschaften und digitales Klassenzimmermanagement angewiesen.
Mehrere Universitäten und Schulen weltweit haben bereits zugegeben, Benachrichtigungen im Zusammenhang mit dem Vorfall erhalten zu haben. Bildungseinrichtungen in Australien, Schweden und anderen Ländern bestätigten, dass sie potenzielle Exposition im Zusammenhang mit Schüler- und Mitarbeiterdaten bewerten.
Behörden und Schulverwaltungen sind besonders besorgt über die mögliche Offenlegung privater Kommunikation in Bildungsumgebungen. Forscher warnen, dass geleakte Konversationen, E-Mail-Adressen und institutionelle Unterlagen bei Phishing-Angriffen, Identitätsdiebstahl-Kampagnen oder gezielten Social-Engineering-Operationen ausgenutzt werden könnten.
Der Vorfall verdeutlicht auch die wachsenden Cybersicherheitsrisiken, denen Bildungseinrichtungen gegenüberstehen. Universitäten und Schulen sind zunehmend attraktive Ziele für cyberkriminelle Gruppen geworden, da sie große Mengen personenbezogener Daten speichern und dabei oft mit fragmentierten IT-Umgebungen und begrenzten Sicherheitsressourcen arbeiten.
ShinyHunters hat sich in den letzten Jahren zu einer der aktivsten Cyberkriminalitätsgruppen mit Fokus auf Erpressung entwickelt und hat wiederholt Cloud-Dienste, SaaS-Anbieter, Universitäten und Unternehmensplattformen ins Visier genommen. Die Gruppe wurde zuvor mit Sicherheitsverletzungen in Verbindung gebracht, die Salesforce-Umgebungen, Telekommunikationsunternehmen, Finanzinstitute und Regierungsbehörden betreffen.
Forscher sagen, dass die Gruppe häufig Datendiebstahl mit öffentlichen Erpressungstaktiken kombiniert und damit droht, gestohlene Informationen weiterzugeben, sofern die Opfer nicht zu Verhandlungen einverstanden sind. In vielen Fällen veröffentlichen Angreifer Opfernamen oder teilweise Datensätze, um den Druck zu erhöhen und Medienaufmerksamkeit zu erregen.
Der Canvas-Vorfall scheint diesem Muster zu entsprechen. ShinyHunters veröffentlicht weiterhin weitere Informationen zum Datenverstoß, darunter Listen mutmaßlich betroffener Institutionen, und warnt Organisationen, die Gruppe zu kontaktieren, bevor weitere Daten öffentlich geleakt werden.
Sicherheitsanalysten sagen, dass das tatsächliche Ausmaß des Verstoßes unklar bleibt, da die unabhängige Überprüfung der Behauptungen der Angreifer noch andauert. Sollten sich die von ShinyHunters bereitgestellten Zahlen jedoch als korrekt erweisen, könnte der Vorfall einer der größten Datenpannen im Bildungssektor werden, die je verzeichnet wurden.