Zurück zum Blog Argus Flow 08 May 2026 5 Min. Lesezeit

Argus Flow Veri Sızıntısı

Wurde Ihre E-Mail geleakt?

Kostenlos prüfen — Ergebnis in Sekunden.

Wöchentlicher Newsletter

Kuratierte Datenpannennews jede Woche in Ihrem Posteingang.

Kein Spam. Jederzeit abmeldbar.

Canvas Login-Portale von ShinyHunters gehackt

Die berüchtigte Cybercrime-Bande ShinyHunters hat den Bildungstechnologie-Riesen Instructure ins Visier genommen. Login-Portale für das Canvas LMS, das von Hunderten von Universitäten genutzt wird, wurden im Rahmen einer massiven Erpressungskampagne verunstaltet.

Zusammenfassung des Vorfalls

Instructure, ein führender Name im Bildungstechnologiesektor, ist das jüngste Ziel der berüchtigten Erpresserbande ShinyHunters geworden. Bei einem Vorfall, der am 8. Mai 2026 bekannt wurde, hat ShinyHunters Berichten zufolge eine neue Schwachstelle in den Systemen von Instructure ausgenutzt, um die Login-Portale des Canvas Learning Management Systems (LMS) für Hunderte von Hochschulen und Universitäten zu verunstalten (Defacement). Dieser Angriff ist mehr als nur ein Datenleck; er zeichnet sich als eine Aktion aus, die auf die digitalen Aushängeschilder von Institutionen abzielt und darauf ausgelegt ist, eine erhebliche öffentliche Wirkung zu erzielen. Indem sie ihre eigenen Nachrichten auf den kompromittierten Login-Seiten platzierten, kündigten die Angreifer den Start einer Erpressungskampagne an, die sich sowohl gegen Instructure als auch gegen die betroffenen Bildungseinrichtungen richtet. Dies ist nicht das erste Mal, dass ShinyHunters Instructure ins Visier genommen hat; die Bande ist dafür bekannt, bereits frühere Cyberangriffe auf das Unternehmen durchgeführt zu haben.

Betroffene Daten und Umfang

Nach aktuellen Informationen war das Hauptziel dieses Angriffs nicht der direkte Diebstahl von Studenten- oder Mitarbeiterdaten, sondern eine Machtdemonstration durch die Kompromittierung der Systemintegrität und die Erzeugung von Druck für eine Erpressung. Das sichtbarste Ergebnis des Angriffs ist das „Defacement“ der Website. Das bedeutet, dass der ursprüngliche Inhalt einer Website durch die eigene Nachricht, das Logo oder die Propaganda des Angreifers ersetzt wird. In diesem Fall wurden die Canvas-Login-Seiten von Hunderten von Bildungseinrichtungen durch eine von ShinyHunters hinterlassene Nachricht ersetzt. Obwohl dies nicht unmittelbar einem Datenleck gleichkommt, birgt es erhebliche Sicherheitsrisiken. Die Fähigkeit eines Angreifers, eine Website zu verunstalten, deutet darauf hin, dass er ein gewisses Maß an unbefugtem Zugriff auf diesen Server oder diese Anwendung erlangt hat. Dieser Zugriff könnte potenziell als Sprungbrett genutzt werden, um in Datenbanken einzudringen oder in späteren Phasen tiefer in die Systeme vorzudringen. Der Umfang des Angriffs ist beträchtlich und betrifft Hunderte von Hochschuleinrichtungen weltweit. Dieser Vorfall unterstreicht einmal mehr, wie anfällig eine kritische Infrastruktur sein kann, die von Millionen von Studenten und Lehrenden genutzt wird.

Der technische Aspekt des Angriffs

Die genauen technischen Details, wie die ShinyHunters-Bande diesen Angriff durchgeführt hat, wurden von Instructure oder unabhängigen Sicherheitsforschern noch nicht bestätigt. Der Bericht von BleepingComputer besagt jedoch, dass der Angriff durch die Ausnutzung „einer weiteren Schwachstelle“ in der Infrastruktur von Instructure durchgeführt wurde. In der Cybersicherheit ist eine „Schwachstelle“ eine Schwäche in einer Software oder einem System, die von einem böswilligen Akteur ausgenutzt werden kann. Diese Schwächen können auf Programmierfehler, Fehlkonfigurationen oder Designfehler zurückzuführen sein.

Wurde Ihre E-Mail geleakt? Kostenlos prüfen — Ergebnis in Sekunden.

Jetzt Prüfen →

Die Angreifer gingen wahrscheinlich wie folgt vor:

Aufklärung: Die Angreifer analysierten den Code und die Infrastruktur der Canvas-Plattform auf der Suche nach potenziellen Schwachstellen.
Ausnutzung (Exploitation): Mithilfe einer entdeckten Schwachstelle erlangten sie unbefugten Zugriff auf das System. Dies geschieht typischerweise durch das Senden eines speziell präparierten Code-Stücks oder Befehls.
Rechteausweitung: Bei ihrem ersten Zugriff hatten sie möglicherweise nur geringe Berechtigungen. Sie versuchten dann, ihre Privilegien zu erweitern, indem sie andere Schwachstellen ausnutzten, um mehr Kontrolle über das System zu erlangen.
Defacement: Sobald sie ausreichende Kontrolle hatten, ersetzten sie die auf dem Webserver gehosteten Login-Portal-Dateien (wie HTML, CSS und JavaScript) durch ihre eigenen vorbereiteten Dateien.

Ein Angriff dieser Art wird oft durch die Umgehung von Web Application Firewalls (WAFs) oder durch die Nutzung einer Zero-Day-Schwachstelle ermöglicht – einem Fehler, der dem Softwarehersteller unbekannt ist. Eine erfahrene Gruppe wie ShinyHunters ist bekannt dafür, die technischen Fähigkeiten für solch komplexe Angriffe zu besitzen.

Wer sind die betroffenen Benutzer

Dieser Cyberangriff betrifft direkt oder indirekt eine breite Nutzerbasis der Canvas-Plattform. Die hauptsächlich betroffenen Gruppen sind:

Studierende: Sie können Unterbrechungen beim Zugriff auf Kursmaterialien, Aufgaben, Prüfungen und Noten erleben. Eine verunstaltete Login-Seite zu sehen, kann bei Studierenden Panik und Misstrauen auslösen.
Lehrende und Akademiker: Sie können Schwierigkeiten bei der Erfüllung wesentlicher Aufgaben wie der Verwaltung von Kursinhalten, der Benotung von Aufgaben und der Kommunikation mit Studierenden haben.
Universitäts- und Hochschulverwaltungen: Der Ruf ihrer Institutionen kann schwer beschädigt werden. Ein solcher Vorfall kann den Eindruck erwecken, dass die Cybersicherheitsmaßnahmen der Einrichtung unzureichend sind.
Instructure: Das Unternehmen hat einen schweren Schlag erlitten, sowohl finanziell als auch in Bezug auf den Ruf. Sie werden konzertierte Anstrengungen unternehmen müssen, um das Kundenvertrauen wiederherzustellen und die Sicherheitslücken in ihren Systemen zu schließen.

Was Sie tun sollten

Wenn Sie Studierender, Lehrender oder Mitarbeiter einer von diesem Angriff betroffenen Einrichtung sind, sollten Sie ruhig bleiben und die folgenden Schritte befolgen:

Offizielle Kanäle verfolgen: Überprüfen Sie regelmäßig die offizielle Website Ihrer Universität oder Hochschule, deren Social-Media-Konten und E-Mail-Ankündigungen.
Ändern Sie Ihr Passwort: Sobald das Canvas-Portal gesichert ist und Ihre Einrichtung dies empfiehlt, ändern Sie Ihr Passwort sofort. Stellen Sie sicher, dass Ihr neues Passwort stark und einzigartig ist.
Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA): Wenn Ihre Einrichtung dies unterstützt, aktivieren Sie unbedingt die Zwei-Faktor-Authentifizierung für Ihr Konto.
Seien Sie vorsichtig bei Phishing-Angriffen: Vertrauen Sie keinen verdächtigen E-Mails, Textnachrichten oder Anrufen, die scheinbar von Canvas oder Ihrer Universität stammen und nach Ihren persönlichen Informationen oder Ihrem Passwort fragen.

Die Erklärung des Unternehmens

Instructure gab nach Bekanntwerden des Vorfalls schnell eine Erklärung ab und bestätigte den Vorfall. Das Unternehmen erklärte, dass seine Sicherheitsteams rund um die Uhr daran arbeiten, den Vorfall zu untersuchen und die betroffenen Systeme wiederherzustellen. In der ersten Erklärung wurde betont, dass es sich bei dem Angriff um ein Website-Defacement handelte und dass es nach aktuellem Kenntnisstand keine Hinweise auf den Abfluss von Kundendaten gibt. Instructure versicherte, dass sie in engem Kontakt mit allen betroffenen Bildungseinrichtungen stehen und sich zu einer transparenten Kommunikation während des gesamten Prozesses verpflichten.

Kaynak

https://www.bleepingcomputer.com/news/security/canvas-login-portals-hacked-in-mass-shinyhunters-extortion-campaign/

← Vorheriger Beitrag Instructure Datenleck betrifft Millionen von Studenten Nächster Beitrag → Zara Datenleck betrifft 197.000 Kundeninformationen