Het Amerikaanse bedrijf Instructure, de ontwikkelaar van het wereldwijd gebruikte onderwijsplatform Canvas, heeft een akkoord gesloten met de hackersgroep ShinyHunters. Deze overeenkomst volgt op een grootschalige cyberaanval waarbij de gegevens van miljoenen studenten en docenten werden buitgemaakt vrt.be.
Volgens Instructure zijn de gestolen gegevens als onderdeel van de overeenkomst teruggegeven en is er digitale bevestiging ontvangen van de vernietiging ervan. Het bedrijf heeft tevens de verzekering gekregen dat er geen verdere afpersing van klanten zal plaatsvinden nos.nl. ShinyHunters heeft deze bewering bevestigd, stellend dat de data "verdwenen, weg" zijn en dat Canvas en de betrokken bedrijven niet langer zullen worden afgeperst .
Details van de hack en de impact
De cyberaanval kwam vorige week aan het licht en trof wereldwijd naar schatting 9.000 onderwijsinstellingen, waarbij de gegevens van ongeveer 275 miljoen docenten, studenten en onderwijsmedewerkers werden gestolen rtl.nl. Tot de buitgemaakte informatie behoorden namen, e-mailadressen, studentnummers en berichten die tussen gebruikers werden uitgewisseld hartvannederland.nl. In Nederland wordt Canvas door zeven universiteiten en diverse hogescholen en mbo-instellingen gebruikt voor onder andere het inzien van lesmateriaal en cijfers, en voor communicatie tussen docenten en studenten .
De verstoring van het platform had aanzienlijke gevolgen voor het onderwijs. Sommige instellingen moesten lessen aanpassen of deadlines voor opdrachten uitstellen. In de Verenigde Staten werden zelfs examendata verlegd als direct gevolg van de hack .
De rol van ShinyHunters en eerdere incidenten
De hackersgroep ShinyHunters eiste de verantwoordelijkheid voor de aanval op. Deze groep staat bekend om het hacken van bedrijven die diensten leveren aan een breed scala aan organisaties, waardoor ze in één keer toegang krijgen tot meerdere entiteiten . Eerder dit jaar was ShinyHunters ook verantwoordelijk voor een grote cyberaanval op telecomprovider Odido, waarbij gegevens van 6,2 miljoen accounts werden buitgemaakt. In dat geval weigerde Odido losgeld te betalen, waarna de hackers de klantdata publiceerden .
Instructure heeft niet bekendgemaakt of er losgeld is betaald in ruil voor de teruggave en vernietiging van de Canvas-data. Topman Steve Daly heeft zijn excuses aangeboden voor de ontstane situatie, benadrukkend dat het bedrijf alle mogelijke maatregelen heeft genomen, ondanks de inherente onzekerheid bij cybercriminelen .
Na de initiële hack wist ShinyHunters, ondanks verbeterde veiligheidsmaatregelen, de applicatie opnieuw te kraken, waardoor gebruikers hun accounts niet konden raadplegen en een boodschap van de hackers te zien kregen . Nederlandse universiteiten hopen de onderwijssoftware later deze week weer volledig te kunnen gebruiken. Instructure heeft aangegeven dat getroffen onderwijsinstellingen zelf geen verdere actie hoeven te ondernemen, aangezien het akkoord voor alle klanten geldt .