## Instructure bestätigt Datenleck **Instructure** meldete am Freitagabend zunächst einen Cybersicherheitsvorfall und leitete umgehend eine Untersuchung ein. Am Samstag bestätigte Chief Information Security Officer Steve Proud, dass Angreifer unbefugten Zugriff auf Nutzerinformationen erlangt hatten, darunter Namen, E-Mail-Adressen, Studentennummern und Nutzernachrichten. Proud erklärte, dass der Vorfall mit Unterstützung von Cybersicherheitsexperten eingedämmt wurde. Zu den Eindämmungsmaßnahmen gehörten der Widerruf privilegierter Anmeldedaten und Zugriffstoken sowie die Bereitstellung von Sicherheitspatches. Einige dieser Maßnahmen führten jedoch zu vorübergehenden Dienstunterbrechungen für Kunden. Bemerkenswerterweise versicherte **Instructure**, dass während des Angriffs keine Finanzinformationen, Passwörter oder Regierungsdokumente kompromittiert wurden. ## ShinyHunters bekennt sich zu dem Angriff Die **ShinyHunters**-Gruppe bekannte sich am Sonntag zu dem Angriff und behauptete, 3,6 TB an Daten von über 9.000 Schulen gestohlen zu haben. **Instructure** hat sich zu der Richtigkeit dieser Behauptungen noch nicht geäußert. Dies ist nicht das erste Mal, dass **Instructure** von **ShinyHunters** ins Visier genommen wurde. Das Unternehmen wurde bereits im September im Rahmen einer breiteren Kampagne gegen Datenspeicherplattformen angegriffen. ## Ein Muster von Angriffen Die **ShinyHunters**-Gruppe ist zunehmend aktiv und hat in jüngster Zeit mehrere hochkarätige Organisationen angegriffen, darunter **ADT**, **McGraw Hill** und **Rockstar**. Zuvor waren auch Bildungseinrichtungen wie die **Harvard University** und die **University of Pennsylvania** betroffen. ## Die wachsende Bedrohung für Bildungsdaten Dieser Vorfall unterstreicht die wachsende Bedrohung für Bildungsdaten, die von Drittanbietern gespeichert werden. Im Januar 2025 erlitt **PowerSchool** ein erhebliches Datenleck, das sensible Daten von Millionen von Schülern und Lehrern offenlegte. Dieses Leck, das sensible Informationen wie den Status von Sonderschülern und Details zur psychischen Gesundheit umfasste, hat zu mehreren Klagen wegen angeblich unzureichender Cybersicherheitspraktiken geführt.