Ein andauernder Daten-Erpressungsangriff auf die weit verbreitete Bildungsplattform **Canvas** hat heute Unterricht und Kursarbeiten an Schulbezirken und Universitäten in den Vereinigten Staaten gestört, nachdem eine Cyberkriminalitätsgruppe die Anmeldeseite des Dienstes mit einer Lösegeldforderung schändete, die mit der Veröffentlichung von Daten von 275 Millionen Schülern und Dozenten an fast 9.000 Bildungseinrichtungen drohte.  **Instructure**, die Muttergesellschaft von Canvas, reagierte auf die defacement-Angriffe, indem sie die Plattform deaktivierte. Canvas wird von Tausenden von Schulen, Universitäten und Unternehmen zur Verwaltung von Kursarbeiten, Aufgaben und der Kommunikation mit Studenten genutzt. ### Erster Einbruch und Lösegeldforderung Instructure räumte zu Beginn der Woche eine Datenpanne ein, nachdem **ShinyHunters** die Verantwortung übernommen und mit der Veröffentlichung von Daten von zig Millionen Schülern und Dozenten gedroht hatte, falls kein Lösegeld gezahlt würde. Die ursprüngliche Frist war der 6. Mai, die später auf den 12. Mai verlängert wurde. In einer Erklärung vom 6. Mai gab Instructure an, dass die gestohlenen Daten "bestimmte identifizierende Informationen von Benutzern betroffener Einrichtungen, wie Namen, E-Mail-Adressen und Studentennummern, sowie Nachrichten zwischen Benutzern" enthielten. Sie fanden keine Beweise für eine Kompromittierung sensiblerer Daten, wie Passwörter oder Finanzinformationen. Das Unternehmen behauptete zunächst, der Vorfall sei eingedämmt. Bis zum 7. Mai sahen Benutzer jedoch die Lösegeldforderung von ShinyHunters auf der Canvas-Anmeldeseite, was Instructure veranlasste, die Plattform offline zu nehmen. ### Erpressungstaktiken und potenzielle Auswirkungen Die Erpressernachricht forderte die betroffenen Schulen auf, Lösegeldzahlungen auszuhandeln, um die Veröffentlichung von Daten zu verhindern, unabhängig von den Maßnahmen von Instructure. Eine Quelle, die der Untersuchung nahesteht, deutete an, dass einige Universitäten bereits Kontakt mit ShinyHunters aufgenommen haben. Die Gruppe entfernte auch Instructure aus ihrem Datenlecks-Blog, was auf mögliche Verhandlungen oder Zahlungen hindeutet. ### Kritik von Cloudskope **Dipan Mann**, Gründer und CEO von **Cloudskope**, kritisierte Instructure dafür, den Ausfall als "geplante Wartung" zu bezeichnen. Mann wies darauf hin, dass dies die dritte Panne bei Instructure durch ShinyHunters in den letzten acht Monaten sei. Er verwies auf einen Vorfall im September 2025, bei dem ShinyHunters Dateien der University of Pennsylvania über einen von Canvas/Instructure vermittelten Zugriffsweg veröffentlichte. Mann argumentiert, dass der vorherige Vorfall ein Proof of Concept war und die aktuellen Ereignisse eine Eskalation des Angriffsmusters darstellen. ### Modus Operandi von ShinyHunters ShinyHunters ist bekannt für Datendiebstahl und Erpressung und erlangt oft Zugang durch Voice-Phishing und Social Engineering, wobei sie sich als IT-Personal ausgeben. Im letzten Monat zielten sie auf **ADT** ab und stahlen persönliche Informationen von 5,5 Millionen Kunden, indem sie das Single-Sign-On-Konto eines Mitarbeiters bei **Okta** kompromittierten. Sie haben auch die Verantwortung für Angriffe auf **Medtronic**, **Rockstar Games**, **McGraw Hill**, **7-Eleven** und **Carnival** übernommen. ### Einschätzung von Mandiant **Charles Carmakal**, CTO bei **Mandiant Consulting**, bemerkte, dass ShinyHunters derzeit mehrere gleichzeitige Einbruchs- und Erpressungskampagnen durchführt. ### Reaktion von Instructure und zukünftige Auswirkungen Mann von Cloudskope schlägt vor, dass das Ergebnis davon abhängt, ob die Kunden von Instructure das Unternehmen unter Druck setzen oder die Panne stillschweigend hinnehmen. **Update:** Instructure hat inzwischen ein Update zum Vorfall veröffentlicht und erklärt, dass Canvas wieder betriebsbereit ist und die Hacker ein Problem im Zusammenhang mit "Free-for-Teacher"-Konten ausgenutzt haben. Sie haben diese Konten vorübergehend gesperrt und die betroffenen Organisationen benachrichtigt.