Hackersgroep ShinyHunters bereikt deal met Canvas-moederbedrijf na groot datalek bij scholen

In dit artikel:

Instructure, het bedrijf achter het onderwijsplatform Canvas, heeft na een cyberaanval een akkoord bereikt met hackersgroep ShinyHunters over grote hoeveelheden buitgemaakte gebruikersgegevens. Volgens Instructure zijn de gestolen bestanden teruggegeven en vormen klanten daardoor niet langer een direct afpersingsrisico; ShinyHunters zegt de data te hebben vernietigd.

Bij de aanval werden onder meer namen, e‑mailadressen en studentnummers buitgemaakt. Het incident trof naar schatting zo’n 9.000 onderwijsinstellingen wereldwijd, waaronder ook Nederlandse universiteiten en hogescholen. Als gevolg van de onrust haalden instellingen zoals de Vrije Universiteit Amsterdam en Fontys het platform tijdelijk uit voorzorg offline.

Instructure heeft niet duidelijk gemaakt of er losgeld is betaald om de gegevens terug te krijgen, en gaf hierover geen nadere toelichting. Eerder had de hackersgroep gedreigd dat getroffen scholen zelf met criminelen zouden moeten onderhandelen, iets wat volgens Instructure nu niet meer nodig is door het bereikte akkoord.

Topman Steve Daly bood zijn excuses aan en benadrukte dat het verbeteren van de beveiliging voortgang heeft. Tegelijk blijft onduidelijkheid bestaan: verklaringen van de hackers zijn lastig onafhankelijk te verifiëren en het voorval onderstreept de kwetsbaarheid van centrale leerplatforms.

Het datalek legt de brede consequenties bloot van één platform dat door veel instellingen wordt gebruikt voor digitaal onderwijs, communicatie en materiaaluitwisseling. Naast directe privacyrisico’s voor studenten en medewerkers roept de zaak discussie op over weerbaarheid, verantwoorde omgang met ransomware-eisen en de noodzaak van strengere beveiligingsstandaarden in het onderwijs.