Instructure trifft Vereinbarung um Datenleck zu stoppen – Veri Sızıntısı
Live
Suche
Unternehmen
Über uns Gründernotiz Presse & Medien Datenschutzerklärung Nutzungsbedingungen FAQ Brand Kit
Produkte
HUBOne HUBCorp Demnächst Veri Sızıntısı Android Demnächst Veri Sızıntısı iOS Demnächst Veri Sızıntısı Huawei Demnächst Breach Radar Argus Flow Argus Engine LivePlatform
Technologien
Was ist Argus AI? In HUBOne ausprobieren Was ist Argus Flow? Was ist Argus Engine?
Blog Kontakt

Instructure trifft Vereinbarung um Datenleck zu stoppen

Der Ed-Tech-Riese Instructure, Entwickler des beliebten Lernmanagementsystems Canvas, hat eine 'Vereinbarung' mit der Erpressergruppe ShinyHunters bestätigt, um die Veröffentlichung gestohlener Daten zu verhindern. Diese Entwicklung hat eine bedeutende Debatte über die Ethik und die Konsequenzen von Zahlungen an Cyberkriminelle ausgelöst.

Instructure trifft Vereinbarung um Datenleck zu stoppen

Zusammenfassung des Vorfalls

Instructure, ein führender Name im Bildungs-Technologie-Sektor und Entwickler des Lernmanagementsystems (LMS) Canvas, das von Millionen von Schülern und Lehrkräften weltweit genutzt wird, hat eine Ankündigung gemacht, die die Welt der Cybersicherheit erschüttert hat. Das Unternehmen gab bekannt, dass es eine "Vereinbarung" mit der berüchtigten Cybercrime-Gruppe ShinyHunters getroffen hat, um die Veröffentlichung von Daten zu verhindern, die bei einem kürzlichen Cyberangriff gestohlen wurden. Dieser Vorfall unterstreicht einmal mehr das empfindliche Gleichgewicht, das ein Unternehmen zwischen betrieblicher Kontinuität, Reputation und der Sicherheit von Nutzerdaten wahren muss.

ShinyHunters ist ein finanziell motivierter Bedrohungsakteur, der sich in den letzten Jahren durch zahlreiche hochkarätige Datenlecks einen Namen gemacht hat. Sie dringen typischerweise in die Netzwerke großer Unternehmen ein, stehlen wertvolle Daten und fordern dann ein Lösegeld als Gegenleistung dafür, sie nicht zu veröffentlichen. Die Verwendung des Begriffs "Vereinbarung" durch Instructure deutet in der Regel darauf hin, dass eine Zahlung an die Cyberkriminellen geleistet wurde. Obwohl Unternehmen solche Zahlungen oft nicht direkt bestätigen, ist es in Cybersicherheitskreisen ein offenes Geheimnis, dass ein Lösegeld gezahlt wurde, um die Veröffentlichung der Daten zu stoppen. Diese Situation widerspricht den Empfehlungen von Strafverfolgungsbehörden wie dem FBI, die dringend davon abraten, Cyberkriminelle zu bezahlen, und wirft eine komplexe ethische Debatte auf.

Geleakte Daten und Umfang

Während Instructure keine detaillierten Informationen über die genaue Art der gestohlenen Daten preisgegeben hat, ist bekannt, dass ein Lernmanagementsystem naturgemäß hochsensible Informationen enthält. Die potenziell betroffenen Datenarten könnten umfassen:

Wurde Ihre E-Mail geleakt? Kostenlos prüfen — Ergebnis in Sekunden.

Jetzt Prüfen →
  • Persönlich identifizierbare Informationen (PII): Vollständige Namen, E-Mail-Adressen, Matrikelnummern und andere identifizierende Informationen von Studierenden und Lehrenden.
  • Akademische Daten: Kurspläne, Noten, eingereichte Aufgaben und Aufzeichnungen über den akademischen Fortschritt.
  • Kommunikationsdaten: Interne Systemnachrichten und Ankündigungen.
  • Anmeldeinformationen: Benutzernamen und potenziell Passwort-Hashes.

Angesichts der Tatsache, dass die Canvas-Plattform von Tausenden von Universitäten, Hochschulen und Schulen weltweit genutzt wird, könnte der potenzielle Umfang des Lecks Millionen von Nutzern betreffen. Die Veröffentlichung dieser Daten könnte für zahlreiche böswillige Aktivitäten genutzt werden, von Phishing-Angriffen bis hin zu Identitätsdiebstahl. Insbesondere akademische Daten bergen das Risiko, als Erpressungsmaterial gegen Studierende verwendet zu werden.

Technische Aspekte des Angriffs

Die technischen Details, wie der Angriff durchgeführt wurde, wurden von Instructure noch nicht offengelegt. Angesichts der üblichen Angriffsvektoren, die von Gruppen wie ShinyHunters verwendet werden, können jedoch mehrere mögliche Szenarien in Betracht gezogen werden. Das erste ist ein Einbruch durch Administrator-Anmeldeinformationen, die durch einen erfolgreichen Phishing-Angriff auf einen Mitarbeiter des Unternehmens erlangt wurden. Eine weitere Möglichkeit ist die Ausnutzung einer Zero-Day-Schwachstelle in einer von der Firma verwendeten Software oder einer Drittanbieter-Bibliothek. Darüber hinaus könnte ein falsch konfigurierter Server oder eine Datenbank in der Cloud-Infrastruktur (z. B. ein öffentlich zugänglicher Amazon S3-Bucket) die Quelle des Lecks sein.

Wer sind die betroffenen Benutzer

Direkt von diesem Datenleck betroffen sind Studierende, Dozenten, Verwaltungsmitarbeiter und sogar Eltern an Bildungseinrichtungen, die das Canvas LMS nutzen. Der Angriff auf eine Plattform, die im Zentrum des täglichen Bildungslebens von Millionen von Menschen steht, zeigt, wie weitreichend die Auswirkungen sein können. Diese Personen sind dem Risiko ausgesetzt, dass ihre gestohlenen Daten missbraucht werden.

Was sollten Sie tun

Wenn Sie Student oder Mitarbeiter an einer Einrichtung sind, die Canvas verwendet, ist es wichtig, proaktive Schritte zu unternehmen, um die Sicherheit Ihrer Daten zu gewährleisten. Die folgenden Maßnahmen werden dringend empfohlen:

  • Ändern Sie sofort Ihr Passwort: Ändern Sie umgehend das Passwort für Ihr Canvas-Konto und alle anderen Konten, bei denen Sie dasselbe Passwort verwendet haben. Stellen Sie sicher, dass Ihre neuen Passwörter stark, komplex und für jede Plattform einzigartig sind.
  • Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA): Wenn Ihre Einrichtung dies unterstützt, aktivieren Sie unbedingt die Zwei-Faktor-Authentifizierung für Ihr Canvas-Konto. Dies ist eine zusätzliche Sicherheitsebene, die unbefugten Zugriff verhindert, selbst wenn Ihr Passwort gestohlen wird.
  • Seien Sie wachsam gegenüber Phishing-Angriffen: Seien Sie in der kommenden Zeit besonders vorsichtig bei E-Mails, die scheinbar von Instructure oder Ihrer Schule stammen. Klicken Sie nicht auf verdächtige Links und laden Sie keine unerwarteten Anhänge herunter.
  • Führen Sie eine Datenleck-Prüfung durch: Sie können eine zuverlässige Datenleck Suche verwenden, um zu überprüfen, ob Ihre persönlichen Informationen bei anderen Lecks kompromittiert wurden. Dies gibt Ihnen einen Überblick über Ihre allgemeine digitale Sicherheitslage.

Die Erklärung des Unternehmens

In seiner offiziellen Erklärung erklärte Instructure, dass die Situation sehr ernst genommen wird und man mit Cybersicherheitsexperten und Strafverfolgungsbehörden zusammenarbeitet. Das Unternehmen bestätigte, dass "eine Vereinbarung getroffen wurde, um eine weitere Verbreitung der Daten zu verhindern", gab jedoch keine finanziellen Details dieser Vereinbarung bekannt. Sie betonten auch, dass sie ihre Sicherheitsmaßnahmen überprüfen und entschlossen sind, ihre Infrastruktur zu stärken, um ähnliche Vorfälle in Zukunft zu verhindern. Solche Erklärungen reichten jedoch nicht aus, um die Kontroverse zu beruhigen, die durch die Entscheidung, ein Lösegeld an Cyberkriminelle zu zahlen, entstanden ist.

Kaynak

https://www.bleepingcomputer.com/news/security/instructure-reaches-agreement-with-shinyhunters-to-stop-data-leak/

Artikel teilen
X LinkedIn WhatsApp
← Vorheriger Beitrag South Staffordshire Water erhält 1 Mio. £ Strafe für Datenpanne Nächster Beitrag → Canvas Datenleck Einigung mit Hackern erzielt

Wöchentlicher Newsletter

Kuratierte Datenpannennews jede Woche in Ihrem Posteingang.