ShinyHunters erpresst Udemy: 1,4 Millionen Datensätze gestohlen

Die Hackergruppe ShinyHunters hat die Online-Lernplattform Udemy ins Visier genommen und droht mit der Veröffentlichung sensibler Daten. Die Erpresser fordern ein Lösegeld – und setzen eine letzte Frist bis heute.

Der Vorfall wurde am 24. April 2026 bekannt, als die Gruppe auf ihrer Darknet-Seite Udemy als neues Opfer auflistete. Nach Angaben von Cybersicherheitsforschern sollen sowohl persönliche Daten von Nutzern als auch interne Unternehmensinformationen abgeflossen sein. Die Hacker sprechen von einer „letzten Warnung“ und drohen mit massiven digitalen Störungen, sollte Udemy nicht zahlen.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen und wie Sie sich proaktiv schützen. IT-Sicherheits-Trends 2024 jetzt kostenlos entdecken

Was genau gestohlen wurde

Udemy selbst hat den Vorfall bislang weder bestätigt noch dementiert. Sicherheitsforscher warnen jedoch vor der potenziellen Tragweite. Die 1,4 Millionen Datensätze enthalten angeblich eine Mischung aus Nutzerdaten und firmeninternen Informationen. Unklar ist, ob es sich um Konten von Studenten, Dozenten oder Mitarbeitern handelt.

Zum Vergleich: Udemy zählte 2024 rund 77 Millionen Nutzer weltweit. Der Diebstahl betrifft also nur einen Bruchteil der Nutzerbasis. Doch die Qualität der Daten macht ihn gefährlich. Experten befürchten, dass die gestohlenen E-Mail-Adressen – insbesondere solche von Firmenaccounts – für gezielte Phishing-Angriffe genutzt werden könnten. Das sogenannte „Business Email Compromise“ (BEC) ist eine der profitabelsten Methoden der Cyberkriminalität.

Die Taktik der Erpresser folgt dem bekannten „Pay or Leak“-Modell von ShinyHunters: Entweder das Opfer zahlt, oder die Daten werden veröffentlicht. Die Gruppe hat sich einen Namen gemacht, indem sie öffentliche Countdowns setzt und ihre Opfer direkt unter Druck setzt.

Angriffswelle auf Bildungssektor und SaaS-Anbieter

Der Angriff auf Udemy ist kein Einzelfall. ShinyHunters hat im Frühjahr 2026 eine ganze Serie von Attacken gestartet. Im Februar traf es die Harvard University: Rund 115.000 sensible Alumni-Datensätze wurden gestohlen. Anfang April folgte der Bildungsverlag McGraw Hill mit angeblich 13,5 Millionen betroffenen Konten.

Auch andere Großunternehmen erhielten in den letzten Wochen Ultimaten. ShinyHunters behauptet, Systeme von Zara, 7-Eleven und Carnival Corporation kompromittiert zu haben. Die Methode ist stets ähnlich: Statt klassischer Softwarelücken nutzen die Angreifer Schwachstellen in der Identitätsverwaltung und Fehlkonfigurationen in Cloud-Umgebungen.

Die Google Threat Intelligence beobachtet diese Entwicklung genau. Die Forscher sehen eine Verschiebung hin zu Angriffen, die auf menschliche Schwachstellen setzen: Social Engineering, Voice Phishing (Vishing) und die Umgehung von Zwei-Faktor-Authentifizierung (MFA). Oft verschaffen sich die Hacker Zugang über kompromittierte Zugänge von Drittanbietern oder externen Mitarbeitern – und umgehen so die Sicherheitsvorkehrungen der eigentlichen Zielunternehmen.

Salesforce-Clouds als Einfallstor

Ein entscheidender Faktor für den Erfolg der Gruppe sind falsch konfigurierte Salesforce- und Experience-Cloud-Portale. Cybersicherheitszentren haben im April 2026 darauf hingewiesen, dass solche Fehlkonfigurationen einen massiven Datenabfluss ermöglichen – ohne dass eine einzige Sicherheitslücke in der Software ausgenutzt werden müsste.

Phishing-Angriffe wie bei Udemy nutzen oft psychologische Schwachstellen der Mitarbeiter aus, um sich Zugang zu Firmendaten zu verschaffen. In diesem kostenlosen Paket erfahren Sie, wie Sie Ihr Unternehmen in 4 Schritten gegen Hacker-Angriffe absichern. Kostenloses Anti-Phishing-Paket für Unternehmen herunterladen

Der Fall McGraw Hill zeigt, wie komplex die Schuldfrage sein kann. Der Verlag machte ein Salesforce-Problem verantwortlich, während Salesforce selbst versicherte, die Plattform sei nicht kompromittiert worden. Klar ist: Unternehmen, die stark auf SaaS-Plattformen setzen, gehen ein wachsendes Risiko ein. Bildungsplattformen sind besonders attraktiv, weil sie riesige Mengen an Nutzerdaten mit Unternehmensinformationen kombinieren.

Für Udemy kommt der Vorfall zu einem denkbar ungünstigen Zeitpunkt. Erst kürzlich hat das Unternehmen eine Fusion mit Coursera vereinbart – ein Schritt, der einen dominanten Player im Online-Bildungsmarkt schaffen soll. Genau solche Unternehmensübergänge sind ein gefundenes Fressen für Erpresser: Der öffentliche Druck und die regulatorische Aufmerksamkeit erhöhen die Bereitschaft der Opfer, schnell zu zahlen.

Was Nutzer jetzt tun sollten

Während die Frist heute abläuft, beobachten Sicherheitsteams die Leak-Plattform der Hacker auf Hinweise zur Veröffentlichung der Daten. Bis Udemy offiziell Stellung nimmt, raten Forscher zur Vorsicht. Nutzer sollten ihre Account-Sicherheit überprüfen und auf Updates des Unternehmens achten.

Experten raten generell davon ab, Lösegeld zu zahlen. Es gibt keine Garantie, dass die Daten gelöscht werden – und die Erpresser könnten jederzeit mit neuen Forderungen kommen. Stattdessen sollten Unternehmen ihre Identitäts- und Zugriffsverwaltung stärken und Cloud-Konfigurationen regelmäßig prüfen. Konkret empfehlen Sicherheitsforscher:

• Überprüfung von Gastzugriffsberechtigungen in Cloud-Umgebungen
• Robuste MFA-Protokolle, die gegen Session-Hijacking und Vishing resistent sind
• Überwachung auf Infostealer-Malware auf Geräten von Mitarbeitern und Dienstleistern

Der Vorfall zeigt: Die Bedrohungslandschaft hat sich gewandelt. Operative Lücken und menschliche Schwachstellen sind heute die bevorzugten Einfallstore für Erpressungsgruppen. Ob ShinyHunters seine Drohung wahr macht oder nicht – der Fall Udemy hat bereits jetzt unterstrichen, wie verwundbar der globale Bildungssektor ist.

de | boerse | 69247130 |