Cyberangriff auf Canvas: 275 Millionen Nutzerdaten gestohlen

Die Angreifergruppe ShinyHunters hat das Lernmanagementsystem Canvas von Instructure geknackt und dabei sensible Daten von rund 275 Millionen Nutzern erbeutet. Betroffen sind über 9.000 Bildungseinrichtungen, darunter renommierte Adressen wie Harvard und MIT.

Der Angriff wurde am 29. April 2026 entdeckt. Die Täter stahlen nicht nur Namen, E-Mail-Adressen und Identifikationsnummern – sie verschafften sich sogar Zugriff auf die Login-Seiten der Plattform und verunstalteten diese. Ein alarmierender Hinweis auf gravierende Sicherheitslücken in der Web-Infrastruktur.

Angesichts massiver Datenlecks bei Bildungsplattformen wird der Schutz des eigenen Smartphones immer wichtiger, um private Accounts abzusichern. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Maßnahmen, mit denen Sie Ihr Android-Gerät sofort gegen Hacker und Datenmissbrauch schützen können. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Sicherheitspanne bei CISA-Auftragnehmer

Doch nicht nur Bildungseinrichtungen sind betroffen. Auch die US-Heimatschutzbehörde CISA geriet ins Visier der Hacker – genauer gesagt ihr Auftragnehmer Nightwing. Das Unternehmen hinterließ administrative Zugangsdaten für drei AWS GovCloud-Konten auf einem öffentlichen GitHub-Repository mit dem Namen „Private-CISA". Die heiklen Daten lagen dort vom 13. November 2025 bis Mai 2026 offen.

Besonders brisant: Die Sicherheitsmechanismen zur Erkennung geheimer Schlüssel waren auf dem Repository deaktiviert. Dadurch hätten Unbefugte potenziell Zugriff auf Build-Infrastrukturen wie Artifactory und LZ-DSO erhalten können. CISA betont zwar, es gebe keine Anzeichen für eine tatsächliche Kompromittierung – der Vorfall zeigt jedoch die Risiken bei der Zusammenarbeit mit Drittanbietern.

GitHub-Leak und Lieferketten-Attacke

Im Mai 2026 traf es auch die Entwicklerplattform GitHub selbst: Rund 3.800 Repositories wurden gestohlen. Zuvor hatte bereits eine Lieferketten-Attacke auf die npm-Pakete von @antv für Aufsehen gesorgt. Ein kompromittiertes Maintainer-Konto wurde genutzt, um bösartige Softwareversionen zu veröffentlichen, die Zugangsdaten aus CI/CD-Pipelines abgriffen. Ziel waren Tokens für AWS, GitHub, Vault und 1Password. Die Folge: Mehr als 61.000 npm-Tokens mussten ungültig gemacht werden.

Alte Leaks, neue Gefahren

Die Vergangenheit holt die Sicherheitsexperten immer wieder ein. Ein aktueller Fall: Die Parodie-Seite Myspace93 wurde gehackt – der Einbruch geschah bereits im Januar 2021, doch die Daten kursieren nun verstärkt im Netz. Über 46.000 Klartext-Passwörter samt E-Mail-Adressen und IP-Adressen wurden veröffentlicht. Der Mitgründer der Seite macht Insider aus einer Discord-Community dafür verantwortlich.

Die Gefahr unverschlüsselter Zugangsdaten bleibt allgegenwärtig. Analysten von Group-IB beobachten, wie dunkle Marktplätze alte Datensätze – etwa von einem Facebook-Vorfall 2021 oder einem Eatigo-Leak 2020 – als frische Unternehmensdaten verkaufen. Zwischen 600 und 1.000 solcher Angebote tauchen monatlich in einschlägigen Foren auf.

Neun Jahre alte Linux-Lücke entdeckt

Eine weitere Zeitbombe tickte im Linux-Kernel. Die Schwachstelle CVE-2026-46333 existiert seit November 2016 – neun Jahre lang unentdeckt. Sie sitzt in den Prozesszugriffsfunktionen und erlaubt lokalen Nutzern, SSH-Schlüssel und Passwort-Hashes auf Distributionen wie Debian, Fedora und Ubuntu auszulesen. Ein Patch ist mittlerweile verfügbar, doch die lange Offenlegungsdauer wirft Fragen auf.

Die Zukunft gehört dem Passkey

Die Industrie zieht Konsequenzen aus der Flut von Zugangsdaten-Diebstählen. Der FIDO-Allianz zufolge gibt es mittlerweile fünf Milliarden aktive Passkey-Konten weltweit. 90 Prozent der Verbraucher kennen die Technologie, rund 75 Prozent haben sie bereits auf mindestens einer Plattform aktiviert.

Besonders stark ist die Verbreitung im Fintech-Sektor: 60 Prozent der Unternehmen haben Passkeys integriert, im E-Commerce sind es 35 Prozent. Microsoft hat im Mai 2026 die SMS-basierte Zwei-Faktor-Authentifizierung für Privatkonten eingestellt und setzt nun auf FIDO2 und Passkeys. Google vermeldet 800 Millionen Konten mit Passkey-Nutzung – und eine 32-prozentige Reduktion von Phishing-Vorfällen.

Da herkömmliche Passwörter angesichts von 4,7 Millionen gehackten Konten pro Quartal ein massives Risiko darstellen, gewinnt die passwortlose Anmeldung rasant an Bedeutung. Erfahren Sie in diesem kostenlosen Report, wie Sie Passkeys bei Amazon, Microsoft und WhatsApp für maximale Sicherheit einrichten. Sicher, bequem und passwortlos – Jetzt Passkey-Report gratis sichern

Passkeys werden portabel

Ein entscheidender Schritt: Apple hat mit iOS 26 die Import- und Exportfunktion für Passkeys eingeführt. Nutzer können ihre digitalen Zugangsdaten nun zwischen verschiedenen Passwort-Managern und Plattformen verschieben. Das beseitigt eine der größten Hürden für die breite Akzeptanz – die Angst vor der Abhängigkeit von einem einzigen Ökosystem.

Angriffsvektoren verschieben sich

Der Verizon Data Breach Investigations Report 2026 zeigt einen Wandel: Die Ausnutzung von Sicherheitslücken hat gestohlene Zugangsdaten als Hauptursache für Sicherheitsvorfälle abgelöst – 31 Prozent zu 13 Prozent. Gleichzeitig steigt die durchschnittliche Zeit, die Unternehmen zum Schließen bekannter Lücken benötigen, auf 43 Tage.

Doch Social Engineering bleibt teuer. Visa beziffert die Verluste durch solche Angriffe in der zweiten Jahreshälfte 2025 auf fast eine Milliarde Euro. Eine großangelegte Phishing-Kampagne seit Mitte Mai 2026 nutzt Google-Dienste wie AppSheet, um E-Mails mit gültigen digitalen Signaturen zu versenden – und damit traditionelle Filter zu umgehen.

Ransomware: Weniger Opfer zahlen

Ransomware ist weiterhin an 48 Prozent aller gemeldeten Vorfälle beteiligt. Die Zahl der Angriffe stieg zuletzt um 26 Prozent. Eine positive Entwicklung: Nur noch 23 Prozent der Opfer zahlen Lösegeld. Ein Zeichen dafür, dass Unternehmen widerstandsfähiger werden oder strenger gegen Erpressungszahlungen vorgehen.

Deutschland bereitet digitale Identität vor

Die Bundesregierung hat den Entwurf für ein Digital-Identitäts-Gesetz verabschiedet – die Grundlage für die EUDI Wallet. Mehr als 100 Organisationen aus Banken, Versicherungen und Mobilität testen die Infrastruktur bereits. Während die EU den 24. Dezember 2026 als Stichtag setzt, plant Deutschland einen Soft-Launch seiner nationalen digitalen Identität für den 2. Januar 2027.

Neue Sicherheitsfeatures für Android

Android 17, dessen stabile Version für Juni 2026 erwartet wird, bringt „Live Threat Detection" und ein dreistündiges „Cloaking-Fenster" für Einmalpasswörter mit. Gleichzeitig arbeiten Thales und Google Cloud an einer souveränen Cloud-Plattform in Deutschland, die bis Ende 2026 marktreif sein soll. Das Besondere: Die Lösung wird ausschließlich von lokalem Personal betrieben – ein klares Signal für europäische Datensouveränität.

de | wissenschaft | 69394645 |