Hackers dreigen informatie van studenten en docenten te publiceren

In dit artikel:

Hackersgroep ShinyHunters plaatste donderdagavond kort een verklaring in de Canvas-app waarin ze zeggen opnieuw toegang te hebben gekregen tot Instructure, het bedrijf achter de leeromgeving Canvas, ondanks dat er beveiligingspatches waren doorgevoerd. In die boodschap stelden de hackers dat onderwijsinstellingen tot 12 mei de tijd hebben om zelf contact te zoeken en te onderhandelen; anders zouden de buitgemaakte gegevens openbaar worden gemaakt. Een eerdere betaaldeadline van de groep liep gisteren af.

De aanval werd maandag publiek bekendgemaakt: volgens de hackers zijn wereldwijd gegevens van miljoenen studenten, docenten en medewerkers van onderwijsinstellingen buitgemaakt. Canvas wordt gebruikt om opdrachten in te leveren en cijfers te bekijken; moederbedrijf Instructure zegt dat het platform meer dan 30 miljoen gebruikers heeft.

In Nederland meldden meerdere universiteiten dat ze getroffen zijn. Tilburg University werd woensdag genoemd als doelwit; de Technische Universiteit Eindhoven bevestigde donderdag ook betrokkenheid. Eerder gaf de koepel Universiteiten van Nederland aan dat onder meer de Universiteit van Amsterdam, de Vrije Universiteit Amsterdam, Erasmus Universiteit Rotterdam, Universiteit Maastricht en Universiteit Twente waren geraakt. Fontys Hogeschool onderzoekt nog of zij slachtoffer is geworden.

De situatie leidt tot lopend onderzoek bij de betrokken instellingen en tot onzekerheid over welke persoonsgegevens precies zijn gelekt en wat de gevolgen voor studenten en medewerkers zullen zijn. De publicatie van een nieuw ultimatum en de dreiging van openbaarmaking vergroten de druk op de getroffen instellingen en op Instructure om zowel schadebeperking als communicatie naar betrokkenen te organiseren.