Das Bildungstechnologieunternehmen Instructure hat eine Datenpanne bestätigt, die seine Systeme betrifft, nachdem die Cybercrime-Gruppe ShinyHunters die Verantwortung übernommen und mit der Weitergabe gestohlener Daten gedroht hatte.
Das Unternehmen, das vor allem für sein Canvas-Lernmanagementsystem bekannt ist, das weltweit von Schulen und Universitäten genutzt wird, gab bekannt, dass Angreifer unbefugten Zugang zu internen Systemen erhielten und Benutzerdaten exfiltrierten.
Laut Instructure umfassen die kompromittierten Informationen Namen, E-Mail-Adressen und Studentenausweisnummern sowie nutzergenerierte Inhalte wie Nachrichten, die innerhalb der Plattform ausgetauscht werden. Das Unternehmen erklärte, es habe keine Beweise gefunden, dass Passwörter, Finanzdaten oder von der Regierung ausgegebene Identifikatoren offengelegt wurden.
Die Sicherheitslücke löste Serviceunterbrechungen aus, woraufhin Instructure Zugriffstoken zurückzog, betroffene Systeme deaktivierte und zusätzliche Überwachungs- und Sicherheitskontrollen während der Untersuchung des Vorfalls einsetzte.
Die ShinyHunters-Gruppe behauptet, einen deutlich größeren Einfluss zu haben, als öffentlich bestätigt wurde. Laut den Angreifern könnten Daten von bis zu 275 Millionen Personen und fast 9.000 Bildungseinrichtungen abgerufen worden sein, einschließlich privater Kommunikation zwischen Schülern und Lehrkräften. Diese Zahlen wurden nicht unabhängig überprüft.
Der Vorfall scheint Teil einer umfassenderen Kampagne zu sein, die sich an cloudbasierte und SaaS-Plattformen richtet. Sicherheitsanalysten weisen darauf hin, dass Angriffe, die ShinyHunters zugeschrieben werden, oft auf Credential-Diebstahl, Social Engineering oder Token-Hijacking beruhen, um Zugang zu Unternehmenssystemen zu erhalten, anstatt Softwareschwachstellen direkt auszunutzen.
Dies ist nicht das erste Mal, dass Instructure mit einem Sicherheitsvorfall konfrontiert ist. Das Unternehmen hatte zuvor 2025 eine Verletzung im Zusammenhang mit Social-Engineering-Angriffen offengelegt, die ebenfalls mit derselben Bedrohungsgruppe in Verbindung steht, was auf anhaltende Risiken für Plattformen, die große Mengen an Bildungsdaten verarbeiten, hervorhebt.
Experten warnen, dass selbst begrenzte Datensätze wie Namen, E-Mails und interne Kommunikation für Phishing, Imitation und gezielte Social-Engineering-Kampagnen genutzt werden können. Die Einbindung von Nachrichteninhalten erhöht das Potenzial zusätzlich, indem sie Kontext bietet, den Angreifer ausnutzen können.
Die Untersuchung läuft weiterhin, wobei Instructure weiterhin das Ausmaß des Verstoßes bewertet und Anzeichen von Datenmissbrauch oder -veröffentlichung überwacht.