### Canvas-Login-Portale defaced **Instructure**, das Unternehmen hinter dem beliebten Lernmanagementsystem **Canvas**, kämpft mit den Folgen eines zweiten Angriffs, der angeblich von der Erpressergruppe **ShinyHunters** verübt wurde. Die Angreifer nutzten eine Schwachstelle aus, um **Canvas**-Login-Portale zu defacen, was rund 330 Bildungseinrichtungen betraf. Die defaced Seiten zeigten eine Nachricht, die die Verantwortung für eine frühere Datenpanne beanspruchte und ein Lösegeld forderte, um die Veröffentlichung gestohlener Studentendaten zu verhindern. Die Defacements, die etwa 30 Minuten lang sichtbar waren, bevor sie offline genommen wurden, warnten **Instructure** und betroffene Schulen, die Gruppe bis zum 12. Mai zu kontaktieren, um eine Einigung auszuhandeln. Die Nachricht besagte, dass bei Missachtung ihrer Forderungen Studentendaten veröffentlicht würden. "ShinyHunters hat Instructure (wieder) gehackt. Anstatt uns zur Lösung zu kontaktieren, haben sie uns ignoriert und einige 'Sicherheitspatches' vorgenommen", hieß es in der Defacement-Nachricht.  *Defaced University of Texas San Antonio Canvas login page* ### Frühere Datenpanne und Datendiebstahl-Behauptungen Dieser Vorfall folgt auf die jüngste Mitteilung von **Instructure**, dass sie einen Cyberangriff untersuchen. **ShinyHunters** behauptete, 280 Millionen Datensätze von Studenten und Mitarbeitern von 8.809 Schulen, Universitäten und Bildungsplattformen, die das **Canvas**-System nutzen, gestohlen zu haben. Die gestohlenen Daten umfassen angeblich Benutzerdatensätze, private Nachrichten, Anmeldedaten und andere Informationen, die über **Canvas**-Datenexportfunktionen und APIs gewonnen wurden. **Instructure** hat die Datenpanne bestätigt und erklärt, dass die Untersuchung des Vorfalls fortgesetzt wird. BleepingComputer berichtet, dass sie **Instructure** wiederholt um Stellungnahme gebeten haben, einschließlich Fragen zur Benachrichtigung betroffener Studenten und Mitarbeiter, aber keine Antwort erhalten haben. ### Wer ist ShinyHunters? Der Name **ShinyHunters** wird seit 2018 mit zahlreichen Bedrohungsakteuren in Verbindung gebracht, die an Datenpannen beteiligt sind. In diesem Jahr sind Gruppen unter dem Namen **ShinyHunters** zunehmend aktiv bei Datendiebstahl und Erpressungsangriffen auf Organisationen weltweit. Sie haben sich hauptsächlich auf **Salesforce** und andere Cloud-SaaS-Umgebungen konzentriert und wurden mit Datenpannen bei Unternehmen wie **Google**, **Cisco**, **PornHub** und **Match Group** in Verbindung gebracht. Ihre Taktiken umfassen das Eindringen in Drittanbieter-Integrationsunternehmen und die Nutzung gestohlener Authentifizierungstoken für den Zugriff auf Kundendaten. Sie sind auch bekannt für Voice-Phishing (Vishing)-Angriffe auf **Okta**, **Microsoft** und **Google** Single Sign-On (SSO)-Konten. Wie BleepingComputer zuvor berichtet hat, hat **ShinyHunters** Device-Code-Vishing-Angriffe übernommen, um **Microsoft Entra**-Authentifizierungstoken zu erhalten. Nach dem Diebstahl von Anmeldeinformationen und Authentifizierungscodes kapern die Angreifer SSO-Konten, um verbundene Unternehmensdienste wie **Salesforce**, **Microsoft 365**, **Google Workspace**, **SAP**, **Slack**, **Adobe**, **Atlassian**, **Zendesk** und **Dropbox** zu kompromittieren. Obwohl einzelne Mitglieder verhaftet wurden, operiert die **ShinyHunters**-Gruppe weiterhin und bietet sogar Erpressung als Dienstleistung für andere Bedrohungsakteure an. <!--HubSpot Ad-->