De Vrije Universiteit Amsterdam heeft uit voorzorg alle systemen losgekoppeld die verbonden zijn met onderwijssoftware Canvas, nadat hackersgroep ShinyHunters donderdagavond toegang claimde tot de Canvas-omgeving van meerdere Nederlandse universiteiten. De hackers dreigen met het publiceren van gestolen data als Instructure niet vóór dinsdag 12 mei reageert. Zeven Nederlandse universiteiten zijn getroffen.
De VU deed ook melding bij privacywaakhond Autoriteit Persoonsgegevens. De loskoppeling kan vrijdag gevolgen hebben voor het geven en volgen van onderwijs, aldus de universiteit. Koepelorganisatie Universiteiten van Nederland (UNL) meldde eerder dat naast de VU ook de Universiteit van Amsterdam, Erasmus Universiteit Rotterdam, Tilburg University, de TU Eindhoven, de Universiteit Maastricht en de Universiteit Twente zijn getroffen.
ShinyHunters dreigt met datalekpublicatie
Het bericht van de hackers was donderdagavond circa een halfuur zichtbaar op de Canvas-pagina’s van onder meer de UvA en de VU. Daarin staat: “ShinyHunters heeft Instructure (opnieuw) gehackt.” De groep beschuldigt Instructure van het negeren van contact en geeft het bedrijf tot dinsdag 12 mei om te voorkomen dat de gestolen data openbaar wordt.
ShinyHunters heeft inmiddels een brede reputatie bij grote datalekken. Eerder richtte de groep zich op Salesforce-omgevingen, waarbij het beweerde 1,5 miljard records van 760 bedrijven te hebben gestolen. Daarna stond ook Red Hat op hun lekwebsite. Binnen Nederland is Odido het meest vooraanstaande slachtoffer geweest dit jaar.
Persoonsgegevens van studenten en docenten gestolen
Instructure bevestigde eerder deze week dat er persoonsgegevens zijn buitgemaakt, waaronder namen, e-mailadressen, student-ID-nummers en privéberichten tussen studenten en docenten. Wachtwoorden en financiële gegevens zouden niet zijn gestolen. Canvas heeft wereldwijd meer dan 30 miljoen gebruikers; ShinyHunters claimt gegevens van maar liefst 275 miljoen personen te hebben.
Als reactie implementeerde Instructure securitypatches, verhoogde het de monitoring en roteerde het zijn applicatiesleutels. Klanten moeten API-toegang opnieuw autoriseren. De cyberaanval leidt ook in andere landen tot problemen; het onderzoek loopt nog. Voor veel gebruikers van de software is de schade al aangericht, of althans: het datalek is niet terug te draaien. De gevolgen van wat criminelen met de gestolen informatie gaan uitvoeren, moeten nog blijken.