Es gibt Hinweise darauf, dass Daten von Nutzern der Online-Lernplattform Canvas gestohlen wurden. Canvas wird von vielen Schulen, Hochschulen und Universitäten genutzt, auch in Belgien. Die Hackergruppe ShinyHunters behauptet, Daten einer großen Anzahl von Nutzern weltweit gestohlen zu haben.
Das Zentrum für Cybersicherheit Belgien (CCB) verfolgt die Situation und wird die betroffenen belgischen Schulen kontaktieren.
Was ist passiert?
Das US-amerikanische Unternehmen Instructure, der Entwickler von Canvas, hat am 1. Mai 2026 einen Cybersicherheitsvorfall bestätigt. Laut Instructure wurden möglicherweise Namen, E-Mail-Adressen, Matrikelnummern und Nachrichten zwischen Nutzern gestohlen. Das Unternehmen teilt mit, dass es derzeit keine Hinweise darauf gibt, dass Passwörter, Geburtsdaten, amtliche Identitätsnummern oder Finanzdaten betroffen sind.
Die Hackergruppe ShinyHunters bekennt sich zu dem Angriff und behauptet, dass es sich um Daten von 275 Millionen Nutzern und Tausenden von Bildungseinrichtungen weltweit handelt. Diese Zahlen sind Angaben der Hacker und wurden nicht unabhängig bestätigt.
Wer ist ShinyHunters?
ShinyHunters ist eine kriminelle Hackergruppe, die für Datendiebstahl mit Erpressung bekannt ist. Die Gruppe stiehlt Daten von Organisationen und droht, diese zu veröffentlichen oder zu verkaufen, wenn keine Zahlung erfolgt.
In Belgien tauchte der Name ShinyHunters bereits im Zusammenhang mit dem Datenleck beim niederländischen Telekommunikationsanbieter Odido auf. Berichten zufolge waren dabei auch Daten von Belgiern betroffen.
Was unternimmt das CCB?
Das Zentrum für Cybersicherheit Belgien (CCB) verfolgt die Situation. Das CCB wird die möglicherweise betroffenen belgischen Bildungseinrichtungen kontaktieren. Die Einrichtungen bleiben selbst der erste Ansprechpartner für ihre Studierenden hinsichtlich der konkreten Auswirkungen auf deren Daten.
Worauf müssen betroffene Studierende achten?
Wenn Daten wie dein Name, deine E-Mail-Adresse, deine Matrikelnummer oder Nachrichten gestohlen wurden, können Kriminelle diese Informationen nutzen, um überzeugende Phishing-Nachrichten zu erstellen. Sei daher besonders wachsam bei Nachrichten, die angeblich von deiner Hochschule, Canvas, einem Dozenten, der Studienverwaltung oder einer anderen offiziellen Stelle stammen.
Achte besonders auf:
1. Nachrichten, die dringend wirken
Sei vorsichtig bei E-Mails oder SMS, in denen steht, dass du dich sofort einloggen, dein Konto „reaktivieren“ oder schnell eine Zahlung vornehmen musst.
2. Links zu gefälschten Anmeldeseiten
Klicke nicht einfach auf Links in Nachrichten. Gehe selbst auf die offizielle Website oder App deiner Schule oder von Canvas.
3. Fragen nach deinem Passwort oder Codes
Eine Schule, ein Lehrer oder ein Helpdesk wird dich niemals auffordern, dein Passwort oder deinen Zwei-Faktor-Authentifizierungscode weiterzugeben.
4. Nachrichten, die persönliche Informationen verwenden
Phishing kann glaubwürdiger wirken, wenn Kriminelle deinen Namen, deine Schule, deinen Studiengang oder deine Matrikelnummer kennen. Auch eine Nachricht mit korrekten persönlichen Daten kann gefälscht sein.
5. Anhänge oder Downloads
Öffne keine unerwarteten Anhänge, vor allem nicht, wenn die Nachricht Druck ausübt oder sich ungewöhnlich anfühlt.
Was kannst du jetzt tun?
- Befolge die offiziellen Mitteilungen deiner Schule.
- Ändere dein Passwort, wenn deine Schule dies verlangt oder wenn du dasselbe Passwort auch anderswo verwendest.
- Verwende ein einzigartiges Passwort für Canvas und dein Schulkonto.
- Aktiviere die Zwei-Faktor-Authentifizierung, wo dies möglich ist.
- Klicke nicht auf verdächtige Links.
- Leite verdächtige Nachrichten an suspekt@safeonweb.be weiter und lösche sie anschließend.
Hast du dein Passwort dennoch auf einer verdächtigen Website eingegeben? Ändere es sofort und benachrichtige den IT-Dienst deiner Schule.
