Digitaal onderwijsplatform betaalt aan hackers na datalek

In dit artikel:

Het Amerikaanse bedrijf Instructure, eigenaar van het leerplatform Canvas, heeft kort voor een door hackers gestelde deadline (12 mei) een schikking getroffen met de criminelen van ShinyHunters na een grootschalige datadiefstal. ShinyHunters beweerde gegevens van circa 275 miljoen gebruikers te hebben buitgemaakt; Instructure zegt dat die data inmiddels zijn teruggegeven en vernietigd, maar maakt niet openbaar of er losgeld is betaald. De partijen zouden digitale “shred logs” hebben uitgewisseld als bewijs van verwijdering, en er is afgesproken dat individuele onderwijsinstellingen niet langer door de groep zullen worden afgeperst.

Canvas wordt wereldwijd gebruikt door duizenden onderwijsinstellingen en meer dan tweehonderd miljoen gebruikers voor opdrachten, communicatie en cursusmateriaal. Volgens Instructure betroffen de gestolen gegevens vooral gebruikersnamen, e-mailadressen, cursus- en inschrijvingsinformatie en berichtenverkeer. Wachtwoorden, lesinhoud en ingeleverde opdrachten zouden niet zijn gelekt. Nadat Instructure aanvankelijk weigerde te voldoen, plaatsten de hackers berichten binnen Canvas en probeerden afzonderlijke instellingen rechtstreeks om betaling te laten onderhandelen.

ShinyHunters, eerder verantwoordelijk voor onder meer de lekken bij telecombedrijf Odido, bevestigde zelf dat de data “weg” zouden zijn en dat scholen niet langer onder druk worden gezet. In Nederland gebruiken diverse hogescholen en universiteiten Canvas; het is onduidelijk welke en hoeveel instellingen daadwerkelijk zijn getroffen. Meerdere onderwijsinstellingen waarschuwden wel voor toegenomen phishing- en fraudepogingen. Instructure heeft een informatiepagina opgezet en CEO Steve Daly verontschuldigde zich voor gebrekkige communicatie tijdens de crisis.