Canvas, het onderwijssysteem dat werd gehackt, heeft samen een deal gesloten met de hackersgroep ShinyHunters. Hiermee zijn de gestolen gegevens van studenten en medewerkers van de Hogeschool Utrecht (HU) en duizenden andere onderwijsinstellingen wereldwijd verwijderd. Dat meldt Instructure, het moederbedrijf van Canvas.
Moederbedrijf Canvas sluit deal met hackersgroep, Hogeschool Utrecht houdt platform uit voorzorg nog offline
Op de website van Instructure laten zij weten dat alle data is teruggekeerd en dat ze bewijs hebben ontvangen dat de hackers de bestanden hebben vernietigd. Geen enkele school of individuele gebruiker van Canvas zou nu nog in de problemen kunnen komen.
Hoe Instructure dit heeft afgehandeld, is niet duidelijk. Het is onbekend of er losgeld is betaald en wat de hackers precies hebben geëist.
Dit is de eerste keer dat het bedrijf iets naar buiten brengt over deze situatie. “Vorige week hebben we besloten om eerst de feiten goed te verzamelen voordat we publiekelijk zouden spreken. Dat instinct was niet verkeerd, maar we hebben de balans verkeerd ingeschat. We hebben ons gericht op het verzamelen van feiten en zijn stilgevallen toen jullie behoefte hadden aan regelmatige updates”, staat op hun website (vertaald naar het Nederlands). Zij laten weten dat Canvas nu weer veilig is om te gebruiken.
Voor HU-studenten is het platform nog steeds offline. "De HU bereidt zich voor op het stapsgewijs opnieuw in gebruik nemen van Canvas en Portflow. Zoals eerder gecommuniceerd blijven beide systemen in ieder geval tot en met morgen (woensdag 13 mei) niet beschikbaar. Dat Canvas slechts stapsgewijs en nog niet geheel in gebruik wordt genomen, is vanuit veiligheidsoverwegingen”, laat een woordvoerder van de HU weten.
Wat is er gebeurd?
Eerder deze maand drong hackersgroep ShinyHunters binnen bij Canvas. Dit platform wordt door studenten gebruikt om onder meer opdrachten in te leveren en cijfers te bekijken. Canvas wordt gebruikt door negen hogescholen en universiteiten in Nederland. Wereldwijd heeft het platform miljoenen gebruikers van duizenden onderwijsinstellingen.
De hackers verzamelden gegevens van studenten en medewerkers. De hackers gaven Instructure aanvankelijk tot 6 mei en na een tweede hack uiteindelijk tot 12 mei, om losgeld te betalen. Anders zouden de gegevens openbaar worden gemaakt.
“Bij dit incident kregen onbevoegden toegang tot een deel van onze systemen. Daarbij zijn gegevens zoals gebruikersnamen, e-mailadressen, cursusnamen, inschrijvingsgegevens en berichten verzameld. Belangrijke gegevens van het leerplatform, zoals cursusinhoud, inzendingen en inloggegevens, zijn niet getroffen. We onderzoeken de situatie nog verder, maar willen duidelijk maken welke gegevens wel en niet zijn geraakt.”
De hackersgroep is onder meer verantwoordelijk voor de hack bij Odido, waarbij klantgegevens van miljoenen klanten werden buitgemaakt en openbaar gemaakt nadat Odido geen losgeld betaalde.
Op vrijdagochtend 8 mei haalde de HU uit voorzorg Canvas offline, omdat het platform niet veilig genoeg was om te gebruiken. Voordat het systeem offline werd gehaald, kregen studenten die probeerden in te loggen het volgende bericht van de hackers te zien (zie afbeelding).
