Het onderwijsplatform Canvas heeft een deal gesloten met hackers. Deze hackers veroorzaakten een massale datadiefstal bij moederbedrijf Instructure. De hackers stalen gegevens van maar liefst 275 miljoen gebruikers wereldwijd. Het ging om namen, e-mailadressen, studentnummers en privéberichten. Instructure bevestigt nu dat de gestolen data is verwijderd. Deskundigen noemen dit de grootste datalek in de geschiedenis van het onderwijs.
De hackersgroep ShinyHunters voerde de aanval uit. Zij stalen in totaal 3,65 terabyte aan gegevens. De aanval trof ongeveer 9.000 onderwijsinstellingen wereldwijd, waaronder hogescholen en universiteiten. Ook Nederlandse instellingen waren het doelwit. ShinyHunters is ook bekend van de hack bij het Nederlandse telecombedrijf Odido. De groep stelde een ultimatum: onderhandel vóór 12 mei of de data wordt openbaar gemaakt.
Instructure bereikte een akkoord met de hackers net voor het ultimatum afliep. Het bedrijf ontving een digitale bevestiging van de vernietiging van de data. Of Instructure losgeld heeft betaald, blijft onduidelijk. Het bedrijf wil hierover niets zeggen. De hackers hadden losgeld geëist als voorwaarde voor het teruggeven van de gegevens. Veel beveiligingsexperts zijn sceptisch over de belofte van de hackers.
Nederlandse hogescholen en universiteiten stuurden waarschuwingen aan studenten en medewerkers. Zij adviseerden alert te zijn op phishingmails. Cybercriminelen kunnen gestolen gegevens gebruiken voor gerichte oplichting. Instructure bood publiekelijk excuses aan voor het gebrek aan transparantie tijdens de crisis. Het bedrijf erkende dat het sneller had moeten communiceren. Instructure belooft zijn beveiligingsmaatregelen te verbeteren om herhaling te voorkomen.
