Canvas-eigenaar Instructure heeft bevestigd dat het hackers heeft betaald na de massale cyberaanval die scholen en universiteiten tijdens de tentamenweek verstoorde en zorgen over mogelijk gestolen studentengegevens aan het licht bracht.
De aanval, opgeëist door de cybercrimegroep ShinyHunters, veroorzaakte eerder deze maand wijdverspreide storingen op het Canvas-leermanagementplatform, waardoor studenten en docenten werden buitengesloten van cursussen, opdrachten, collegematerialen en examens aan duizenden instellingen wereldwijd.
In een public statement , erkende Instructure dat het onderhandelingen met de aanvallers was aangegaan en uiteindelijk de losgeldeis had betaald om de publicatie van gestolen gegevens te voorkomen. Het bedrijf zei dat de beslissing werd genomen na overleg met cybersecurity-experts en wetshandhaving.
Het bedrijf heeft niet publiekelijk bekendgemaakt hoeveel geld er is betaald of of de aanvallers bewijs hebben geleverd dat de gestolen gegevens achteraf zijn verwijderd.
De breuk kwam op een van de slechtst mogelijke momenten voor onderwijsinstellingen, namelijk tijdens de eindexamens en het afstudeerseizoen. Leerlingen in Noord-Amerika, Europa, Australië en Azië meldden dat ze geen toegang hadden tot studiemateriaal, opdrachten inleverden of toetsen konden afronden, omdat scholen tijdens het incident tijdelijk de toegang tot Canvas uitschakelden.
Verschillende universiteiten stelden examens uit of verlengden deadlines nadat de storing het lessysteem verstoorde. Sommige instellingen hebben Canvas volledig losgekoppeld van interne netwerken terwijl ze mogelijke blootstelling aan studenten- en personeelsgegevens onderzochten.
ShinyHunters beweerde dat de aanval bijna 9.000 scholen trof en data blootlegde die gekoppeld zijn aan ongeveer 275 miljoen gebruikers wereldwijd. Volgens de groep omvatte de gestolen informatie namen, e-mailadressen, studenten-ID-nummers en miljarden privéberichten die via Canvas-systemen werden uitgewisseld.
Instructure zei eerder dat er geen bewijs is dat wachtwoorden, financiële informatie, burgerservicenummers of door de overheid uitgegeven identificatienummers zijn gecompromitteerd. Het bedrijf schreef de inbreuk toe aan problemen met “Free-For-Teacher”-accounts die aan het platform zijn verbonden.
Tijdens het incident werden sommige gebruikers die probeerden in te loggen op Canvas naar verluidt doorgestuurd naar losgeldberichten die door ShinyHunters waren geplaatst met het verzoek om onderhandelingen vóór een lekdeadline. De aanvallers dreigden gestolen gegevens openbaar te maken als er geen betaling zou worden gedaan.
De beslissing om de hackers te betalen zal waarschijnlijk discussie uitlokken onder cybersecurity-experts en docenten. Wetshandhavingsinstanties ontmoedigen over het algemeen losgeldbetalingen omdat ze toekomstige aanvallen kunnen aanmoedigen en geen garantie bieden dat gestolen gegevens daadwerkelijk worden vernietigd.
Toch wegen organisaties die te maken hebben met grootschalige afpersingsincidenten vaak het risico dat gevoelige informatie openbaar wordt, vooral wanneer miljoenen studenten, leraren en medewerkers getroffen kunnen worden.
Het incident is een van de grootste bekende cyberaanvallen op de onderwijssector geworden en heeft de zorgen over de groeiende afhankelijkheid van gecentraliseerde onderwijstechnologieplatforms nieuw leven ingeblazen. Beveiligingsonderzoekers waarschuwen dat grote leermanagementsystemen steeds aantrekkelijker zijn geworden, omdat ze enorme hoeveelheden gevoelige persoonlijke en institutionele gegevens op één plek opslaan.
Er blijven ook vragen bestaan of alle gestolen gegevens na de betaling zijn beveiligd. Cybersecurity-experts merken op dat ransomware- en afpersingsgroepen vaak kopieën van gestolen informatie bewaren, zelfs nadat de onderhandelingen zijn afgerond, waardoor slachtoffers worden blootgesteld aan toekomstige lekken of doorverkoop op ondergrondse forums.
Instructure zei dat het blijft samenwerken met forensische onderzoekers en wetshandhavingsinstanties, terwijl het monitort op tekenen dat de gestolen gegevens nog online kunnen verschijnen.