Onderwijsplatform Canvas sluit deal met hackersgroep, 'data is verwijderd'

In dit artikel:

Instructure, het bedrijf achter het onderwijssysteem Canvas, heeft een overeenkomst gesloten met hackersgroep ShinyHunters nadat het platform eind vorige maand werd gekraakt. Volgens Instructure zijn de gestolen bestanden teruggegeven en is er digitaal bewijs geleverd dat de data verwijderd is. De regeling geldt voor alle klanten, zodat scholen en universiteiten niet langer zelf met de hackers hoeven te onderhandelen; het bedrijf zegt dat geen enkele klant door dit incident zal worden afgeperst.

Bij de inbraak werden onder meer berichten tussen leerlingen en docenten buitgemaakt, plus namen, e‑mailadressen en studentnummers. ShinyHunters stelde een ultimatum en eiste losgeld; Instructure bevestigt niet of er daadwerkelijk betaald is. Het bedrijf erkent dat volledige zekerheid bij cybercriminelen nooit gegarandeerd is, maar zegt alle mogelijke stappen te hebben genomen om klanten gerust te stellen.

Voordat de deal werd gemeld, hadden sommige onderwijsinstellingen volgens media zelf contact gezocht met de hackers. Nu dat niet meer nodig is, wordt die noodzaak weggenomen. Canvas wordt breed gebruikt, ook in Nederland en België, waardoor de impact gemeenschappelijk is voor veel scholen.

ShinyHunters heeft eerder gevoelige datalekken veroorzaakt, onder andere bij Nederlandse provider Odido en softwareleverancier ChipSoft, en wereldwijd bij organisaties als Rockstar Games, de EU en Pornhub. Als context: autoriteiten raden meestal af losgeld te betalen omdat dat crimineel gedrag in de hand werkt, maar organisaties wegen vaak pragmatische risico’s af om verdere publicatie van data te voorkomen.