Miljoenen studentengegevens ‘vernietigd’ na mysterieuze deal tussen Canvas en hackers
Hackers van ShinyHunters kregen rond het weekend van 2 mei toegang tot de systemen van Instructure. Daarin stonden gegevens opgeslagen van duizenden scholen die Canvas gebruiken. Wat volgde, was een dreigement: ShinyHunters zou de informatie openbaar maken als er niet vóór 12 mei een deal werd gesloten. Het zou gaan om de data van maar liefst 275 miljoen studenten, docenten en onderwijsmedewerkers van 9.000 verschillende instellingen.
Die deal is er nu, zo schrijft Instructure in een update van hun incidentrapport. De exacte invulling van de afspraak blijft echter geheim. Het is dan ook onduidelijk of Instructure daadwerkelijk losgeld heeft betaald om aan de eisen van ShinyHunters te voldoen. Dergelijke betalingen lopen bij datalekken op deze schaal vaak in de miljoenen euro’s.
‘Gegevens zijn vernietigd’
Hoe de deal ook tot stand is gekomen, voor onderwijsinstellingen wereldwijd is het een enorme geruststelling. Nu er een akkoord ligt, is de kans aanzienlijk kleiner dat de gegevens alsnog op straat belanden. Dat is volgens Instructure ook bevestigd: “Als onderdeel van de overeenkomst zijn de gegevens aan ons teruggestuurd en hebben we een digitale bevestiging gekregen van de vernietiging ervan”, klinkt het in het rapport.
Daarnaast hebben de hackers toegezegd de klanten van Instructure, de individuele scholen en universiteiten, niet apart af te persen. Instructure benadrukt wel dat er nooit volledige zekerheid is in de wereld van cybercrime. Maar, zo stelt het bedrijf: “We vonden het belangrijk om alle mogelijke stappen te ondernemen om klanten, voor zover mogelijk, extra gemoedsrust te bieden.”
ShinyHunters sloeg eerder toe bij Odido
ShinyHunters staat inmiddels bekend om het afpersen van grote bedrijven. Eerder deden ze hetzelfde bij de Nederlandse provider Odido. De werkwijze was toen identiek: de hackers claimden destijds dat het bedrijf hen simpelweg negeerde. Diezelfde bewering deden ze nu over Instructure.
In tegenstelling tot Odido is Instructure uiteindelijk dus wel aan de onderhandelingstafel geschoven. De komende tijd moet uitwijzen of de ontwikkelaar nu wél voldoende maatregelen heeft genomen om nieuwe aanvallen te voorkomen. Opvallend genoeg wisten de hackers na de eerste aanval namelijk nóg een keer in te breken, terwijl Instructure toen al beweerde de beveiliging te hebben opgeschroefd.
Instructure laat zich daar op dit moment niet over uit. Wel verontschuldigt het bedrijf zich voor de gebrekkige communicatie direct na de eerste inbraak. Voor veel studenten is dat een schrale troost; zij gebruiken het systeem dagelijks om onderwijsmateriaal te bekijken en hun opdrachten in te leveren.
