**Instructure**, das Unternehmen hinter dem beliebten Lernmanagementsystem (LMS) **Canvas**, steht vor einem schwerwiegenden Cybersicherheitsvorfall. Ein kürzlicher Einbruch hat offenbar die Daten von Millionen von Schülern und Mitarbeitern zahlreicher Bildungseinrichtungen offengelegt. ### Details zum Datenleck Am vergangenen Freitag gab **Instructure** bekannt, dass das Unternehmen einen Cyberangriff untersuche, der sich später als Datenleck herausstellte. Benutzernamen, E-Mail-Adressen und private Nachrichten waren potenziell betroffen. Die Erpressergruppe **ShinyHunters** hat die Verantwortung für den Angriff übernommen und behauptet, 280 Millionen Datensätze von Schülern, Lehrern und Mitarbeitern exfiltriert zu haben. Diese Daten stammen angeblich von 8.809 Colleges, Schulbezirken und Online-Bildungsplattformen, die **Canvas** nutzen.  *Instructure-Eintrag auf der ShinyHunters-Datenleck-Seite* **ShinyHunters** hat eine Liste der angeblich betroffenen Bildungseinrichtungen veröffentlicht, zusammen mit der Anzahl der Datensätze für jede. Diese Zahlen reichen von Zehntausenden bis zu mehreren Millionen pro Institution. BleepingComputer hat sich entschieden, die Liste der betroffenen Institutionen aufgrund fehlender unabhängiger Verifizierung nicht zu veröffentlichen. Die Angreifer behaupten, die Exportfunktionen von **Canvas**, einschließlich DAP-Abfragen, Provisionierungsberichten und Benutzer-APIs, genutzt zu haben, um Hunderte von Gigabyte an Benutzerdatensätzen, Nachrichten und Anmeldedaten zu sammeln. ### Reaktion der Institutionen Obwohl **Instructure** noch keine Stellungnahme angefordert hat, haben einige Universitäten begonnen, Erklärungen zu den potenziellen Auswirkungen abzugeben: * Die **University of Colorado Boulder** warnte vor einem landesweiten Datenleck, das mehrere Institutionen betrifft, die **Canvas** nutzen. * **Rutgers** erklärte, dass sie nicht über direkte Auswirkungen auf ihren Campus informiert worden seien und **Canvas** weiterhin betriebsbereit sei. * Die **Tilburg University** untersucht den Vorfall und versucht, das Ausmaß der Auswirkungen auf ihre Studenten und Mitarbeiter zu ermitteln. BleepingComputer hat sich mit **Instructure** in Verbindung gesetzt, um weitere Informationen zu erhalten, und wird diese Geschichte aktualisieren, sobald weitere Details verfügbar sind. ## 99% dessen, was Mythos gefunden hat, ist immer noch ungepatcht. KI hat vier 0-Day-Schwachstellen zu einem einzigen exploit verbunden, der sowohl Renderer- als auch OS-Sandboxes umgangen hat. Eine Welle neuer exploits steht bevor. Auf dem Autonomous Validation Summit (12. und 14. Mai) erfahren Sie, wie autonome, kontextreiche Validierung exploitable Schwachstellen findet, die Wirksamkeit von Kontrollen beweist und den Remediation-Prozess abschließt. Sichern Sie sich Ihren Platz