Das Haus ist nicht glücklich. Der Gesetzgeber fordert das Erscheinen von Instructure. Sie wollen eine Aussage. Warum? Weil die Bildungsplattform zweimal gehackt wurde. Millionen von Studenten. Millionen von Lehrern. Alles ausgesetzt.
Und Instructure war langsam. Sehr langsam.
„Kongress will Struktur zur Beantwortung von Fragen“
Der Deal mit ShinyHunters sieht auf dem Papier gut aus. Die Hacker versprachen, die gestohlenen Daten zu vernichten. Keine Erpressung mehr. Nur Stille. Instructure sagte, sie hätten als Beweis „Schredderprotokolle“ erhalten. Eine Art digitale Bestätigung.
Aber glaubt irgendjemand Ransomware-Gruppen?
Der Abgeordnete Andrew Garbarino ist Vorsitzender des Heimatschutzausschusses. Er verschickt Briefe. Er möchte wissen, wie die Koordination mit CISA geklappt hat. War es ausreichend? Die Cybersecurity and Infrastructure Security Agency half, die Explosion einzudämmen. Externe Forensiker wurden von Instructure angerufen. Garbarino sieht, dass in dieser Erzählung etwas fehlt.
Er ist ein Republikaner aus New York. Er legt nicht viel Wert auf Unternehmenshinterziehung. Sein Brief an CEO Steve Daly bringt es auf den Punkt:
- Wie sind sie wieder reingekommen?
- Was genau wurde gestohlen?
Benutzernamen. E-Mails. Kursnamen. Nachrichten zwischen Lehrern und Kindern. Anmeldungen. Instructure listet diese auf, als handele es sich um geringfügige Unannehmlichkeiten. Das sind sie nicht. Das sind Leben.
Das Doppeltippen
- April. ShinyHunters hat sich eingeschlichen. Sie nutzten einen Fehler im Zusammenhang mit „Free-For-Teacher“-Konten. Es ist ein spezifischer Vektor. Eine Hintertür, die sie offen gehalten oder vielleicht gerade erst gefunden haben.
Sie kratzten alles ab, was sie finden konnten.
Dann machten sie eine Pause.
Bis zum 7. Mai. Sie schlagen erneut zu. Diesmal hinterließen sie eine Nachricht. Eine digitale Verspottung auf dem Anmeldebildschirm. Instructor geriet in Panik. Also. Das hätten sie tun sollen. Canvas wechselte in den Wartungsmodus. Die Schüler haben sich angemeldet. Nichts ist passiert. Nur eine Codewand mit der Aufschrift „Später versuchen“.
ShinyHunters behauptete, über 9.000 Institutionen stünden im Visier. Universitäten. Öffentliche Schulen. K-12 überall. Das bedeutet Minderjährige. Daten minderjähriger Kinder kursieren im Darknet. Für Datenschützer ist das ein Albtraum. Und für Eltern.
Wer sind ShinyHunters überhaupt?
Wenn der Name bekannt vorkommt. Gut. Es sollte.
Das ist kein zufälliges Kind mit einem Laptop. Es ist ein organisiertes Kollektiv. Ransomware-Veteranen. Sie haben es kürzlich mit Anodot aufgenommen. Sie beschlagnahmten bereits im April die Geschäftsdaten von Rockstar Games. Microsoft? Cisco? AT&T? Sie haben dort nachgeschaut. Versicherungsgesellschaften? Kreditgenossenschaften? Jeder, der über sensible Daten verfügt, ist ein Ziel.
Die Struktur ist nicht einzigartig. Einfach hochkarätig.
Im Moment funktioniert Canvas. Meistens. Free-For-Teacher-Konten sind jedoch tot. Vorübergehend deaktiviert. Laut Instructure sieht der Forensik-Partner keine aktive Bedrohung. Die Schauspieler sind raus. Oder zumindest. Sie sind ruhig.
Ein Webinar ist geplant. Vielleicht für den 13. Mai? Die Termine verschieben sich ständig. Für alles Weitere verweist das Unternehmen auf seine Vorfallseite. Standard-PR-Maßnahme. Ablenken. Weitere Informationen finden Sie im Blogbeitrag.
Das Lösegeld bezahlen. Wieder.
Hier ist die eigentliche Kontroverse.
Unterricht bezahlt.
Sie haben eine Einigung erzielt. ShinyHunters hat die Daten (angeblich) gelöscht. Instructure gab diesen Deal voller Stolz bekannt. Branchenexperten hassen das. Das FBI hasst das.
„Es normalisiert das Muster für zukünftige Kriminelle“
Troy Hunt läuft Have I Been Pwned. Seinen Lebensunterhalt verdient er damit, Verstöße aufzuspüren. Er hält das für einen schrecklichen Rat. Kriminelle zu bezahlen macht Kriminalität profitabel. Es sendet ein Signal. Verbrechen zahlt sich aus.
Warum haben sie es getan? Skala. Umfang. Druck von Seiten der Schulen. Eltern schreien über die Sicherheit ihrer Kinder. Instructure fühlte sich in die Ecke gedrängt. Vielleicht dachten sie, es sei die einzige Möglichkeit, die Lecks zu stoppen.
Hunt kauft die Holzscheite nicht.
„Vollständige Sicherheit gibt es nie“, heißt es auf der Website von Instructure. Sogar sie wissen das. Dennoch nannten sie es einen Erfolg.
Schauen Sie sich PowerSchool an. Ende 2024. Sie haben ShinyHunters bezahlt. Ich habe ein Video von den Hackern, die Festplatten verbrennen (digital). Sind die Daten verschwunden? Nein. Es ist später aufgetaucht. Lehrer wurden einzeln erpresst. Mehr Geld gefordert. Für die gleichen Daten.
Dieses Muster existiert. Es wiederholt sich.
Instructure glaubt, dass sie der Kugel ausgewichen sind. Das FBI glaubt, sie hätten den Wolf gefüttert. Troy Hunt glaubt, dass dies ein Warnschuss für alle anderen Unternehmen ist, die auf Studentendaten sitzen.
Sind die Kopien weg?
Wahrscheinlich nicht.
ShinyHunters sind erfahren. Sie haben wahrscheinlich Backups. Offsite. Verschlüsselt. Warten auf eine Neueröffnung.
Laut Instructure gibt es keine Hinweise auf einen aktuellen Zugriff. Der forensische Partner sagt, sie seien in Sicherheit. Aber sicher ist nicht sicher. Und zerstört ist nicht weg.
Millionen von Studentenakten. Draußen. Irgendwo.
Warten auf die nächste Nachfrage.
