'Universiteiten benaderen ShinyHunters om datalek na Canvas-hack te voorkomen'

In dit artikel:

Meerdere universiteiten hebben volgens beveiligingsonderzoeker Brian Krebs en Reuters overwogen losgeld te betalen aan de hackercollectief ShinyHunters om te voorkomen dat gestolen data wordt vrijgegeven. De berichtgeving baseert zich op een anonieme bron; aantallen en locaties van de betrokken universiteiten — en of ook Nederlandse of Belgische instellingen erbij zitten — worden niet genoemd.

ShinyHunters drong eind vorige maand binnen bij Instructure, de maker van het onderwijsplatform Canvas, en zou gesprekken tussen leerlingen en docenten, plus namen, e-mailadressen, studentnummers en mogelijk telefoonnummers hebben buitgemaakt. Omdat Instructure aanvankelijk geen betaling regelde, voerde de groep begin mei opnieuw druk uit en dreigde op 12 mei gegevens te lekken. Na die dreiging werd Canvas korte tijd uit de lucht gehaald.

Als directe consequentie stopten meerdere Nederlandse onderwijsinstellingen tijdelijk met het gebruik van Canvas, meldt de NOS; leerlingen en docenten konden daardoor geen opdrachten inleveren of cijfer- en lesmateriaal raadplegen, met mogelijke vertragingen van deadlines en tentamens tot gevolg.

ShinyHunters is in Nederland al bekend van eerdere hacks, zoals die bij telecombedrijf Odido, en heeft ook doelwitten als Rockstar Games, de Europese Unie en PornHub getroffen. Het betalen van losgeld blijft controversieel: autoriteiten waarschuwen doorgaans dat betaling geen garantie biedt dat data niet toch openbaar wordt en dat het kwaadwilligen kan aanmoedigen. Instellingen worden geacht datalekken te onderzoeken en te melden aan de bevoegde instanties.