Hackersgroep Shinyhunters heeft de buitgemaakte gegevens van ruim 275 miljoen Canvas-gebruikers teruggegeven aan Instructure. Of het gevraagde losgeld is betaald, is niet bekend.
Chemiestudent Jayden Alden is opgelucht over het feit dat de gegevens van Canvas-gebruikers niet zijn gelekt. ‘Heeft Instructure een deal gesloten? Nou wel fijn, we gebruiken Canvas veel. Ik ben blij dat mijn gegevens nu niet op straat liggen.’
De hackers hadden onder meer gebruikersnamen, emailadressen en berichten gestolen uit Canvas, een onderwijsapplicatie die wereldwijd door zo’n negenduizend instellingen wordt gebruikt. Het Amerikaanse Instructure, de maker van Canvas, moest uiterlijk 12 mei losgeld betalen, anders zouden de gegevens openbaar gemaakt worden.
Losgeld
Volgens Instructure is er inmiddels een deal gesloten en zijn de gestolen gegevens verwijderd. Dat meldt het bedrijf op zijn website. Instructure biedt daarnaast excuses aan en stelt dat Canvas weer veilig te gebruiken is. Of er losgeld is betaald in ruil voor het verwijderen van de data, is niet bekendgemaakt. Wel hebben de hackers de deal bevestigd, meldt de NOS.
Bij de hack werden ook Nederlandse onderwijsinstellingen getroffen. Het ging om zeven universiteiten en zeker twee hogescholen (waaronder de HU) die gebruikmaken van Canvas. Studenten gebruiken het platform om hun roosters of cijfers te bekijken. Ook kunnen ze berichten sturen naar klasgenoten en docenten.
Aan de HU
‘Ik had nogal wat stress de afgelopen dagen’, vertelt student Integrale Veiligheidskunde Ismene Nobel. Ze is blij met de uitkomst. ‘Alleen maar goed dat ze die deal hebben gesloten. En fijn dat mijn gegevens niet gelekt zijn. Ik zou Canvas gewoon blijven gebruiken in de toekomst, want de vervangende opties zoals Brightspace kunnen net zo makkelijk gehackt worden.’
Bij docenten overheerst eveneens opluchting, al plaatsen zij ook kanttekeningen. Integrale Veiligheidskunde docent Cherida Wadilie zegt: ‘Ik heb zelf geen last gehad van de hack, maar toen Canvas eruit lag kon niemand meer bij belangrijke informatie en inlevermogelijkheden. Dat heeft wel degelijk impact gehad op studenten en de komende toetsen. Ik ben blij dat er een deal is gesloten, maar ik vraag me wel af of de HU Canvas nog moet willen gebruiken. Ik hoop dat het college van bestuur daar kritisch naar gaat kijken.’
‘Aan de ene kant is het natuurlijk goed dat de gegevens niet op straat zijn beland’ zegt docent Bedrijfskunde Liesbeth Nederlof. ‘Maar dat er een deal is gesloten, klinkt wel alsof er geld is betaald en dat vind ik minder positief. Daarmee stimuleer je hackers misschien juist om het de volgende keer opnieuw te proberen. Tegelijkertijd werk ik veel met Canvas, dus ik ben wel blij dat het weer gebruikt kan worden.’
Risico
Of de data echt zijn verwijderd? Instructure waarschuwt dat er nooit volledige zekerheid is bij onderhandelingen met cybercriminelen. Het bedrijf doet verder onderzoek naar de hack.
De HU heeft een speciale pagina voor docenten geopend met alternatieven voor Canvas (inloggen vereist). Die bestaan vooral uit Outlook, Teams, OneDrive, Wooclap en Testvision.
