Der Ausschuss für Innere Sicherheit des US-Repräsentantenhauses fordert Antworten von **Instructure** nach zwei Cyberangriffen der Erpressergruppe **ShinyHunters**, die die **Canvas**-Plattform des Unternehmens kompromittierten. Die Datenlecks führten zum Diebstahl von Schülerdaten und verursachten erhebliche Störungen für Schulen, insbesondere während der Abschlussprüfungen. ### Kongressermittlung eingeleitet In einem Schreiben an den CEO von **Instructure**, Steve Daly, erklärte der Vorsitzende des Ausschusses für Innere Sicherheit, **Andrew R. Garbarino**, dass der Ausschuss die massive Datenpanne untersucht, die Millionen von Schülern betrifft. Das Schreiben unterstreicht die Schwere der Vorfälle und die potenziellen Auswirkungen auf Bildungseinrichtungen. "Der Ausschuss für Innere Sicherheit (Ausschuss) untersucht die besorgniserregenden Berichte im Zusammenhang mit den jüngsten Cybersicherheitsvorfällen, die Instructure Holdings, Inc. und die zig Millionen von Schülern, Lehrern und Administratoren betreffen, die auf seine Lernmanagementplattform Canvas angewiesen sind", heißt es in dem Schreiben. Der Ausschuss betonte, dass die Gruppe **ShinyHunters** **Instructure** innerhalb einer einzigen Woche zweimal kompromittiert hat. ### Details der Datenlecks Wie BleepingComputer bereits berichtete, gab **Instructure** am 3. Mai bekannt, dass es Opfer eines Datenlecks geworden war. Das Unternehmen bestätigte, dass die Intrusion am 29. April entdeckt wurde und dass Angreifer Systeme kompromittiert und Daten von Schülern und Schulpersonal, die **Canvas** nutzten, gestohlen hatten. Laut **Instructure** umfassten die offengelegten Informationen Namen, E-Mail-Adressen, Schüleridentifikationsnummern und Nachrichten, die zwischen Schülern und Lehrern auf der Plattform ausgetauscht wurden. Wichtig ist, dass die Daten keine Passwörter, Finanzinformationen oder staatlichen Identifikatoren enthielten. ### Behauptungen von ShinyHunters Am 3. Mai bekannte sich die Erpressergruppe **ShinyHunters** zu dem Angriff und behauptete, 280 Millionen Datensätze von 8.809 Colleges, Schulbezirken und Online-Bildungsplattformen gestohlen zu haben. Die Angreifer teilten eine Liste der betroffenen Bildungsorganisationen, wobei die Anzahl der gestohlenen Datensätze von Zehntausenden bis zu mehreren Millionen pro Institution reichte.  *Instructure-Liste auf der ShinyHunters-Datenleck-Website. Quelle: BleepingComputer* Die Gruppe **ShinyHunters** führte auch einen zweiten Angriff durch und defacete **Canvas**-Login-Portale an Schulen und Universitäten in den gesamten Vereinigten Staaten. Diese Defacements zeigten Erpressernachrichten, die **Instructure** aufforderten, mit der Gruppe zu verhandeln. Diese Störung beeinträchtigte Institutionen in mehreren Bundesstaaten während kritischer Aktivitäten am Semesterende, was einige Colleges zur Annullierung von Prüfungen zwang.  *ShinyHunters-Nachricht auf der Canvas-Login-Seite der University of Texas San Antonio. Quelle: BleepingComputer* Später wurde bekannt, dass die Angreifer mehrere Cross-Site-Scripting (XSS)-Schwachstellen ausnutzten, um authentifizierte Admin-Sitzungen zu erlangen und die Login-Portal-Seiten zu ändern. ### Betroffene Institutionen und Reaktion Das Schreiben des Ausschusses für Innere Sicherheit weist darauf hin, dass Schulen in zahlreichen Bundesstaaten, darunter Kalifornien, Florida, Georgia, Oklahoma, Oregon, Nevada, North Carolina, Tennessee, Utah, Virginia und Wisconsin, Störungen im Zusammenhang mit dem Vorfall meldeten. Der Ausschuss stellte auch fest, dass die Angreifer behaupteten, **Instructure** erneut angegriffen zu haben, weil das Unternehmen sich zunächst geweigert habe, zu verhandeln. ### Einigung erzielt Kurz nachdem **ShinyHunters** **Instructure** von seiner Datenleck-Website entfernt hatte, gab **Instructure** bekannt, dass es eine Einigung mit der Gruppe erzielt habe, um die öffentliche Veröffentlichung zu stoppen und sicherzustellen, dass die gestohlenen Daten gelöscht werden. Obwohl **Instructure** die Zahlung eines Lösegelds nicht ausdrücklich bestätigte, ist es für Erpressergruppen ungewöhnlich, gestohlene Daten zu löschen oder Lecks ohne eine Form von Zahlung oder Vereinbarung einzustellen. Die Erpressergruppe aktualisierte ihre Datenleck-Website mit einer Erklärung, in der sie behauptete, die Daten seien zerstört worden und Schulen müssten sie nicht für Verhandlungen kontaktieren. "Wir haben nichts zu der jüngsten Situation bei dem LMS-Unternehmen hinzuzufügen oder zu kommentieren. Wenn Sie eine betroffene Institution sind, suchen wir nicht nach Ihrem Geld. Bitte stellen Sie alle Versuche ein, uns zu kontaktieren, die Angelegenheit wurde gelöst", heißt es in der **ShinyHunters**-Aktualisierung. "Das Unternehmen und seine Kunden werden nicht weiter ins Visier genommen oder zur Zahlung kontaktiert. Die Daten existieren nicht." ### Kongressprüfung Der Ausschuss für Innere Sicherheit erklärte, dass die wiederholten Kompromittierungen "ernste Fragen" hinsichtlich der Reaktionsfähigkeit von **Instructure** auf Vorfälle und seiner Verpflichtungen zum Schutz der gespeicherten Daten aufwerfen. Der Ausschuss hat **Instructure** gebeten, bis spätestens 21. Mai an einer Besprechung teilzunehmen, um beide Intrusionen, die gestohlenen Daten, Eindämmungs- und Benachrichtigungsbemühungen sowie die Koordination mit Bundesbehörden zu erörtern.