Instructure, het bedrijf achter het populaire onderwijsplatform Canvas, heeft een overeenkomst bereikt met de hackersgroep ShinyHunters. De gestolen gegevens van honderden miljoenen studenten en docenten zouden zijn vernietigd. Of er losgeld is betaald, wil het bedrijf niet zeggen.
De deal kwam tot stand kort voor het ultimatum dat de hackers hadden gesteld: 12 mei. ShinyHunters had gedreigd de gegevens openbaar te maken als Instructure niet over de brug zou komen. Het bedrijf bevestigt dat de data zijn teruggestuurd en dat het een digitale bevestiging heeft ontvangen dat de informatie is vernietigd. Ook zegt Instructure dat klanten en onderwijsinstellingen niet langer hoeven te vrezen voor verdere afpersing.
De hackersgroep zelf bevestigt het akkoord kort en bondig: de gegevens zijn weg.
Enorme omvang
De hack, die vorige week naar buiten kwam, raakte volgens de aanvallers zo’n 9.000 onderwijsinstellingen wereldwijd. Buitgemaakt werden onder meer namen, e-mailadressen, studentnummers en berichten van in totaal 275 miljoen gebruikers; studenten, docenten en andere onderwijsmedewerkers. Canvas wordt wereldwijd breed ingezet op scholen en universiteiten voor communicatie tussen docenten en studenten, van het inleveren van opdrachten tot het bekijken van cijfers.
Ook in Nederland maken meerdere hogescholen en universiteiten gebruik van het platform. Diverse instellingen hadden hun studenten en medewerkers al gewaarschuwd alert te zijn op phishingpogingen en andere vormen van online oplichting.
Bekende naam
ShinyHunters is geen onbekende speler. De groep zit ook achter de aanval op telecomprovider Odido, waarbij gegevens van ruim zes miljoen accounts in verkeerde handen vielen. Odido weigerde te betalen, waarna de hackers alle buitgemaakte data alsnog openbaar maakten.
Bij Canvas leek het aanvankelijk ook die kant op te gaan. Toen Instructure de eerste hack leek te negeren en enkel wat beveiligingspatches doorvoerde, wisten de aanvallers het systeem opnieuw binnen te dringen. Via een bericht in de applicatie zelf lieten ze weten dat ze zich genegeerd voelden en stelden ze een nieuwe deadline.
Geen garanties
Instructure erkent dat absolute zekerheid nooit te geven is bij dit soort dreigingen. Toch koos het bedrijf ervoor alle mogelijke stappen te zetten om klanten zo veel mogelijk geruststelling te bieden. Onderwijsinstellingen die Canvas gebruiken, hoeven volgens Instructure zelf geen contact op te nemen met de hackers.
Het bedrijf wilt geen uitspraken doen over de eventuele betaling van losgeld.
