**Instructure** hat zugegeben, nach einem Einbruch in sein Netzwerk ein Lösegeld an eine dezentrale Cyberkriminellen-Erpressergruppe gezahlt zu haben. Das Unternehmen, bekannt für sein Lernmanagementsystem **Canvas**, gab dies bekannt, nachdem die Angreifer damit gedroht hatten, gestohlene Daten von Tausenden von Schulen und Universitäten zu veröffentlichen. ### Lösegeldzahlung bestätigt In einer am Montag veröffentlichten Erklärung gab das in Utah ansässige Unternehmen an, dass es "eine Einigung mit dem unbefugten Akteur, der an diesem Vorfall beteiligt war, erzielt" habe, und nannte Bedenken hinsichtlich einer möglichen Datenveröffentlichung. Die Entscheidung, das Lösegeld zu zahlen, eine kontroverse Maßnahme, wurde getroffen, um eine Veröffentlichung zu vermeiden, wobei die Vereinbarung alle betroffenen Kunden abdeckte. **Instructure** behauptet, die gestohlenen Daten seien zurückgegeben und digital als zerstört bestätigt worden. Das Unternehmen gab auch an, dass es darüber informiert wurde, dass keine Kunden infolge des Hacks separat erpresst würden. "Obwohl es bei der Zusammenarbeit mit Cyberkriminellen nie vollständige Sicherheit gibt, waren wir der Meinung, dass es wichtig war, alle uns zur Verfügung stehenden Schritte zu unternehmen, um den Kunden, soweit möglich, zusätzliche Sicherheit zu geben", erklärte **Instructure**. ### Forensische Analyse und Sicherheitsverbesserungen Das Unternehmen arbeitet mit erfahrenen Anbietern zusammen, um die forensische Analyse zu unterstützen, seine Cybersicherheitsabwehr zu verbessern und eine gründliche Überprüfung der kompromittierten Daten durchzuführen. ### ShinyHunters beansprucht Verantwortung Der Einbruch geht auf einen Angriff der Erpressergruppe **ShinyHunters** zurück, die letzten Monat **Canvas** ins Visier genommen und dabei 3,65 TB an Daten gestohlen hatte. Dieser Vorfall betraf fast 9.000 Organisationen. Obwohl der Einbruch zunächst als eingedämmt galt, kam es am 7. Mai 2026 zu einer zweiten Welle unbefugter Aktivitäten, bei der die **Canvas**-Login-Portale von rund 330 Institutionen mit Erpressernachrichten verunstaltet wurden, wobei **Instructure** eine Frist bis zum 12. Mai 2026 für Verhandlungen gesetzt wurde. ### Ausnutzung von Schwachstellen Die Angreifer nutzten Berichten zufolge eine nicht näher spezifizierte Schwachstelle im Zusammenhang mit Support-Tickets in der Free-for-Teacher-Umgebung aus, um den ersten Zugriff zu erlangen. Dies ermöglichte es ihnen, etwa 275 Millionen Datensätze mit Benutzernamen, E-Mail-Adressen, Kursnamen, Anmeldeinformationen und Nachrichten zu stehlen. **Instructure** betont, dass Kursinhalte, Einreichungen und Anmeldedaten nicht kompromittiert wurden. ### Abhilfemaßnahmen Nach dem Einbruch schaltete **Instructure** vorübergehend Free-For-Teacher-Konten ab. Obwohl das Unternehmen die genaue Art der Schwachstelle nicht offengelegt hat, hat es privilegierte Anmeldedaten und Zugriffstoken für betroffene Systeme widerrufen, interne Schlüssel rotiert, Pfade zur Erstellung von Token eingeschränkt und zusätzliche Sicherheitskontrollen implementiert. ### Phishing-Risiko "Die exfiltrierten Daten bieten Bedrohungsakteuren genügend persönlichen Kontext, um gezielte Phishing-Kampagnen gegen Mitarbeiter, Studenten und Eltern durchzuführen", warnte **Halcyon**. "Geleakte Datensätze können verwendet werden, um Schulverwalter, IT-Support oder Finanzhilfebüros in nachfolgenden Angriffen zu imitieren. Studenten, Eltern und Personal betroffener Institutionen sollten berücksichtigt und die Institutionen sollten umgehend Phishing-Warnungen und direkte Mitteilungen herausgeben."