Canvas-Leak: Hunderte Millionen Nutzerdaten gestohlen

Die Hackergruppe ShinyHunters hat über die Lernplattform Canvas Daten von schätzungsweise 30 Millionen Studierenden erbeutet – und fordert nun Lösegeld.

Besonders die erwähnte „OTP-Spamming“-Methode zeigt, wie verwundbar mobile Endgeräte heute für personalisierte Angriffe sind. Dieser kostenlose Ratgeber zeigt in fünf einfachen Schritten, wie Sie Ihr Smartphone wirksam gegen Hacker und Internet-Kriminalität absichern. 5 Schutzmaßnahmen für Ihr Smartphone jetzt kostenlos entdecken

Massive Datenpanne bei Instructure

Der Angriff auf die von Instructure betriebene Plattform Canvas begann bereits Ende April. Am 29. April 2026 entdeckten Sicherheitsexperten einen ersten unbefugten Zugriff, der auf kompromittierte „Free-For-Teacher"-Konten zurückging. Eine zweite Angriffswelle am 7. Mai traf dann rund 330 Universitäten weltweit – die Hacker defaced die Login-Portale der betroffenen Einrichtungen.

Nach Angaben von Sicherheitsanalysten sind rund 9.000 Bildungseinrichtungen in den USA, Kanada, Großbritannien, den Niederlanden, Schweden und Australien betroffen. Die Täter behaupten, 3,65 Terabyte an Daten abgegriffen zu haben – das entspricht rund 275 Millionen Datensätzen. Darunter: Namen, E-Mail-Adressen, Hochschulkennungen und private Nachrichten.

Instructure versichert, dass weder Passwörter noch Finanzdaten gestohlen wurden. Dennoch sehen Experten die erbeuteten Metadaten als höchst gefährlich an.

Prüfungs-Chaos an US-Eliteunis

Besonders brisant: Der Angriff traf viele Hochschulen mitten in der Prüfungsphase. Die Harvard University, Princeton, Columbia und die University of Toronto mussten reagieren. An der University of Illinois und der Penn State University fielen wegen der Sicherheitsvorfälle sogar geplante Klausuren aus.

Die National University of Singapore (NUS) bestätigte ebenfalls, dass Studenten-IDs offengelegt wurden. Dort blieben die Auswirkungen wegen des akademischen Kalenders jedoch gering.

Die Erpresser setzten ein Ultimatum: Bis zum 12. Mai 2026 soll das Lösegeld gezahlt werden – sonst droht die Veröffentlichung des gesamten Datensatzes.

Warum die gestohlenen Daten so gefährlich sind

Forensiker schlagen Alarm: Auch ohne Passwörter bieten die gestohlenen Studenten-IDs und Nachrichtenprotokolle eine perfekte Grundlage für gezielte Phishing-Angriffe. Besonders perfide: die sogenannte „OTP-Spamming"-Methode. Dabei bombardieren Angreifer ihre Opfer mit gefälschten Login-Anfragen, bis diese aus Frustration eine Transaktion freigeben.

Infostealer auf dem Vormarsch

Parallel zum Canvas-Vorfall machen neue Schadprogramme die Runde, die speziell darauf ausgelegt sind, die Zwei-Faktor-Authentifizierung (2FA) zu umgehen. Die Vidar-Kampagne verbreitet sich über manipulierte Software-Toolkits und stiehlt Browser-Cookies, Passwörter und Krypto-Wallets direkt vom Gerät der Opfer. Mit den gekaperten Sitzungen können Angreifer die 2FA komplett umgehen.

Auch die Linux-Welt ist betroffen: Am 9. Mai wurde der Schädling „QLNX" (Quasar Linux RAT) entdeckt. Dieses dateilose Implantat tarnt sich als Kernel-Thread und läuft ausschließlich im Arbeitsspeicher. Sein Ziel: SSH-Schlüssel, Browserdaten und Cloud-Tokens von Entwicklern und DevOps-Umgebungen stehlen.

„SilverFox"-Kampagne erreicht neuen Höhepunkt

Eine weitere Bedrohung nennt sich „SilverFox". Seit Ende 2025 aktiv, erreichte die Kampagne Anfang 2026 ihren Höhepunkt. Allein in den ersten beiden Monaten wurden über 1.600 schädliche E-Mails registriert. Die Angreifer geben sich als nationale Steuerbehörden aus und schleusen eine Python-basierte Hintertür namens „ABCDoor" ein. Betroffen sind vor allem Unternehmen in Indien, Indonesien und Russland.

Kritische Sicherheitslücken in Infrastruktur-Software

Die Angriffswelle wird durch mehrere kritische Schwachstellen verschärft. Am 8. Mai erließ die US-Cybersicherheitsbehörde CISA eine dringende Anweisung an Bundesbehörden: Eine als CVE-2026-6973 bekannte Lücke in Ivanti Endpoint Manager Mobile ermöglicht Remote-Code-Ausführung mit Administratorenrechten – und wird bereits aktiv ausgenutzt.

Auch der Linux-Kernel bereitet Sorgen: Der Zero-Day-Exploit „Dirty Frag" (CVE-2026-43284 und CVE-2026-43500) erlaubt Angreifern mit erstem Systemzugriff, ihre Rechte auf Root-Ebene auszuweiten. Ein offizieller Patch stand bis zum 9. Mai noch aus. Administratoren wurde geraten, bestimmte Kernel-Module wie esp4, esp6 und rxrpc zu blockieren.

Microsoft schließt kritische Copilot-Lücken

Selbst KI-Assistenten sind nicht immun. Am 7. Mai schloss Microsoft drei kritische Schwachstellen in Microsoft 365 Copilot und Copilot Chat (CVE-2026-26129, CVE-2026-26164, CVE-2026-33111). Die Lücken hätten die unbefugte Offenlegung sensibler Informationen ermöglicht – und das ohne jede Nutzerinteraktion. Die Korrekturen wurden serverseitig eingespielt, doch Microsoft empfiehlt Unternehmen, ihre internen Zugriffsberechtigungen zu überprüfen.

KI als Abwehrwaffe: OpenAI bringt GPT-5.5-Cyber

Angesichts der Eskalation reagiert auch die KI-Branche. Am 8. Mai veröffentlichte OpenAI das Modell GPT-5.5-Cyber, speziell optimiert für Cybersicherheitsforschung. Es soll simulierte Angriffe validieren und Software-Schwachstellen identifizieren können. Der Zugang bleibt zunächst auf Verteidiger kritischer Infrastrukturen beschränkt – über ein spezielles „Trusted Access"-Programm.

Da dateilose Implantate und Kernel-Exploits verstärkt Schwachstellen in der IT-Infrastruktur ausnutzen, rückt Linux als stabile Alternative wieder in den Fokus. Das kostenlose Linux Startpaket liefert Ihnen eine Ubuntu-Vollversion und zeigt, wie Sie parallel zu Windows mehr Sicherheit und Tempo gewinnen. Kostenloses Linux Startpaket hier sichern

Telekommunikation im Visier von APT-Gruppen

Auch der Telekommunikationssektor steht unter Druck. Singapurische Regierungsvertreter warnten zuletzt, dass Provider weiterhin Hauptziele für Advanced Persistent Threat (APT)-Gruppen sind. Die Medienbehörde IMDA forderte Unternehmen auf, KI-Risiken in ihre Sicherheitsstrategien einzubeziehen – denn Angreifer nutzen zunehmend automatisierte Tools für Credential-Stuffing und Session-Hijacking in großem Stil.

Ausblick: Das Ende der traditionellen 2FA?

Der unmittelbare Fokus liegt auf dem 12. Mai, dem Ultimatum der ShinyHunters-Gruppe. Doch die eigentliche Frage geht tiefer: Die zunehmende Verbreitung von Cookie-Dieben wie Vidar und QLNX stellt den Sicherheitswert traditioneller 2FA grundlegend in Frage. Wenn das digitale Abbild einer Besitzbestätigung – das Session-Cookie – so leicht kopiert werden kann, ist der Besitznachweis wertlos.

Branchenexperten erwarten in den kommenden Wochen einen deutlichen Schub für Zero-Trust-Architekturen und hardwaregestützte Authentifizierung, die sich nicht einfach durch Infostealer exportieren lässt. Bis dahin gilt für alle Betroffenen: Browser-Sitzungen löschen, administrative Zugangsdaten rotieren und erhöhte Wachsamkeit gegenüber hochgradig personalisierten Phishing-Versuchen.

de | wissenschaft | 69299096 |