Die Firma hinter der populären Canvas-Software erlitt letzte Woche einen Cyberangriff, welcher zu erheblichen Störungen an Tausenden von Universitäten und Hochschulen führte. Instructure, der Hersteller der Software, zahlte den Hackern jedoch, um die Veröffentlichung gestohlener Daten zu verhindern. Der Cyberangriff betraf schätzungsweise 9.000 Bildungseinrichtungen in den Vereinigten Staaten, Kanada, Australien und dem Vereinigten Königreich, wobei Prüfungen aufgrund des Ausfalls des Canvas-Dienstes unterbrochen wurden.
Die Angreifer drohten, 3,5 Terabyte an Studenten- und Universitätsdaten zu veröffentlichen, welche sie im Rahmen der Sicherheitslücke erlangt hatten. Instructure bestätigte daraufhin, ein Abkommen mit den Hackern geschlossen zu haben, welche versicherten, die Daten gelöscht zu haben und keine Erpressung von Studenten oder Institutionen zu verlangen. Die Firma betonte, dass der Schutz der Daten von Studenten und Bildungspersonal ihre primäre Motivation darstellte.
Die Zahlung von Cyberkriminellen widerspricht den Empfehlungen von Strafverfolgungsbehörden weltweit, da sie weitere Angriffe fördern und keine Garantie für die vollständige Löschung der Daten bietet. In früheren Fällen akzeptierten Kriminelle Lösegelder, lügten jedoch über die Vernichtung gestohlener Daten und hielten diese für den Weiterverkauf. Beispielsweise fanden die Polizei bei einem Angriff der bekannten LockBit-Ransomware-Gruppe heraus, dass gestohlene Daten selbst nach Zahlung nicht gelöscht worden waren.
Instructure erklärte in einer Stellungnahme auf ihrer Webseite, dass sie alle Schritte unternommen hatte, um den Kunden zusätzliche Sicherheit zu geben, soweit dies möglich war. Das Abkommen beinhaltete die Rückgabe der Daten an die Firma sowie die Erhalt einer digitalen Bestätigung der Datenvernichtung. Es wurde zudem mitgeteilt, dass keine Instructure-Kunden durch den Vorfall zur Erpressung gebracht würden. Das Abkommen galt für alle betroffenen Kunden, ohne dass Einzelpersonen mit den Hackern in Kontakt treten mussten.
Der Verstoß wurde am 29. April entdeckt und online von der bekannten Erpressergruppe Shiny Hunters beansprucht. Studenten, die Prüfungen absolvierten, erlitten besonders schwer. Eine Meteorologiestudentin berichtete, dass sie und andere Studenten gerade einen umfangreichen Prüfungsaufsatz fertigstellten, als eine Erpressungsnachricht auf ihren Bildschirmen erschien. Die Gruppe drohte mit der Veröffentlichung gestohlener Daten, es sei denn, eine Lösegeldforderung in Bitcoin erfolge. Die Universität kündigte daraufhin an, einige Prüfungen zu verschieben, um den Studenten die Möglichkeit zu geben, verlorene Arbeiten wiederherzustellen.