Deutsch
English
Español
Français
Nederlands
Português
Instructure, das Mutterunternehmen des weit verbreiteten Lernmanagementsystems Canvas, hat bestätigt, dass es eine Einigung mit der Hackergruppe ShinyHunters erzielt hat, nachdem Daten von 275 Millionen Nutzern gestohlen wurden. In einer Erklärung vom 12. Mai 2026 teilte Instructure mit, dass die gestohlenen Daten zurückgegeben und digital vernichtet wurden, obwohl das Unternehmen nicht bekannt gab, ob ein Lösegeld gezahlt wurde. Der Canvas-Datenpanne 2026 hat Abschlussprüfungen an Hunderten von Universitäten weltweit gestört, darunter Harvard, Columbia und das University of California System.
Was geschah beim Canvas-Hack?
Der Vorfall ereignete sich in zwei Phasen. Am 3. Mai 2026 nutzten ShinyHunters eine Schwachstelle im 'Free-For-Teacher'-Kontosystem von Canvas aus, um auf eine Datenbank mit Namen, E-Mail-Adressen, Studentenausweisnummern und internen Nachrichten von etwa 275 Millionen Nutzern von über 8.800 Bildungseinrichtungen in mehr als 100 Ländern zuzugreifen. Nachdem Instructure Sicherheitspatches bereitgestellt hatte, statt mit den Hackern zu verhandeln, schlugen ShinyHunters am 7. Mai erneut zu und verunstalteten Canvas-Login-Dashboards an Hunderten von Universitäten mit einer Lösegeldforderung.
Wer sind die ShinyHunters-Hacker?
ShinyHunters ist eine berüchtigte Black-Hat-Hacker- und Erpressungsgruppe, die seit 2019 aktiv ist. Die Gruppe war für zahlreiche prominente Sicherheitsverletzungen verantwortlich, darunter Microsoft (2020), Tokopedia und der niederländische Telekommunikationsanbieter Odido. Im Fall Odido, dem größten Datenleck in der niederländischen Geschichte, veröffentlichte ShinyHunters die gesamte Kundendatenbank von 6,2 Millionen Konten nach Zahlungsverweigerung. Die Gruppe operiert nach einem 'Zahlen oder Leaken'-Modell.
Frühere Ziele und Methoden
ShinyHunters nutzte Cloud-Fehlkonfigurationen, OAuth-Token-Diebstahl, Supply-Chain-Angriffe und Zero-Day-Exploits. Zu den bemerkenswerten Opfern gehören Mathway (25 Millionen Nutzer) und mehrere EdTech-Anbieter.
Instructures Reaktion und der Lösegeld-Deal
Anfangs verfolgte Instructure eine harte Linie. CEO Steve Daly räumte später ein, dass das Unternehmen die Kommunikation falsch gehandhabt habe. 'Wir haben Sicherheitspatches über die Kundenkommunikation gestellt, und das war ein Fehler', sagte Daly in einem Update vom 11. Mai. Als die Frist des 12. Mai näher rückte, verhandelte Instructure direkt mit ShinyHunters. Das Unternehmen erklärte: 'Im Rahmen der Vereinbarung wurden die Daten an uns zurückgegeben und wir haben eine digitale Bestätigung ihrer Vernichtung erhalten. Uns wurde mitgeteilt, dass keine Kunden erpresst werden.'
Auswirkungen auf Universitäten und Studenten
Der Hack zwang Dutzende Universitäten, Canvas offline zu nehmen, was während der Abschlussprüfungen Chaos verursachte. Das California State University System mit über 460.000 Studenten war betroffen. Sicherheitsexperten warnten vor erhöhtem Phishing-Risiko. Die Bedenken zum Datenschutz von Studenten, die durch diesen Vorfall aufgeworfen wurden, haben Forderungen nach strengeren Cybersicherheitsvorschriften im Bildungssektor ausgelöst.
Welche Daten wurden gestohlen?
- Vollständige Namen und E-Mail-Adressen
- Studentenausweisnummern und institutionelle Zugehörigkeiten
- Interne Nachrichten und kursbezogene Kommunikation
- Kontoerstellungsdaten und letzte Anmeldezeitstempel
Keine Finanzdaten, Sozialversicherungsnummern oder Passwörter wurden kompromittiert. Das Datenvolumen von 3,65 Terabyte macht dies jedoch zu einem der größten Bildungsdatenlecks der Geschichte.
Vergleich: Odido vs. Canvas-Breach
| Ziel | Gestohlene Datensätze | Lösegeld gezahlt? | Daten veröffentlicht? |
|---|---|---|---|
| Odido (2025) | 6,2 Millionen | Nein | Ja (vollständig geleakt) |
| Canvas/Instructure (2026) | 275 Millionen | Nicht bekannt | Nein (vernichtet) |
FAQ: Canvas-Hack und Datenpanne
Wurden meine Daten beim Canvas-Hack gestohlen?
Wenn Sie Student oder Dozent an einer Einrichtung mit Canvas sind, könnten Ihr Name, Ihre E-Mail und Ihre Studenten-ID exponiert sein. Fragen Sie Ihre IT-Abteilung.
Hat Instructure das Lösegeld gezahlt?
Instructure hat nicht bestätigt, ob ein Lösegeld gezahlt wurde, aber Sicherheitsanalysten gehen aufgrund der Rückgabe und Vernichtung der Daten von einer Zahlung aus.
Was soll ich tun, wenn meine Daten kompromittiert wurden?
Seien Sie wachsam bei Phishing-E-Mails, aktivieren Sie die Zwei-Faktor-Authentifizierung und überwachen Sie verdächtige Aktivitäten. Ändern Sie Ihr Canvas-Passwort.
Ist Canvas jetzt sicher?
Instructure hat zusätzliche Sicherheitsmaßnahmen implementiert und das 'Free-For-Teacher'-Programm eingestellt. Die Plattform ist betriebsbereit, aber Vorsicht ist geboten.
Wer ist für den Hack verantwortlich?
Die ShinyHunters-Gruppe hat die Verantwortung übernommen. Strafverfolgungsbehörden einschließlich des FBI ermitteln.
Follow Discussion