Universiteit trekt stekker uit Canvas na mogelijk nieuwe hack door ShinyHunters

Studenten die sinds vrijdagochtend willen inloggen op canvas.eur.nl komen voor een dichte deur te staan. De site is volledig onbereikbaar. Vanwege een mogelijk nieuwe cyberaanval op de onderwijssoftware op donderdagavond, heeft de universiteit de stekker uit het systeem getrokken voor onbekende tijd.

Gisteravond kregen sommige studenten van de Erasmus Universiteit na inloggen op Canvas een bericht van ShinyHunters te zien. Daarop was te lezen dat de hackergroep opnieuw de infrastructuur van softwarebedrijf Instructure, de eigenaar van Canvas, heeft gehackt. “In plaats van contact met ons op te nemen om dit op te lossen hebben ze ons genegeerd en een paar beveiligingsupdates gedaan.” De hackers roepen de instellingen op om via een cybersecuritybedrijf contact op te nemen om het uitlekken van hun gebruikersdata te voorkomen.

Gebeurt dat niet, dan worden de gegevens op 12 mei gepubliceerd op het dark web. Daarmee krijgen de instellingen zes dagen meer de tijd dan de hackers eerst gaven.

Systeem uit

Volgens een woordvoerder van de universiteit is het onduidelijk of het om een nieuwe hack gaat, of dat de hackers sinds de eerste hack op zondag nog in het systeem zaten.

Uit voorzorg heeft de universiteit donderdagavond het systeem uitgezet. Dat betekent dat studenten en docenten niet meer bij hun onderwijsmaterialen kunnen, hun cijfers kunnen inzien of berichten aan elkaar kunnen sturen.

Alternatieve communicatiemiddelen

Hoelang deze situatie voortduurt is nog onduidelijk. Het crisisoverleg van de universiteit is vanochtend bijeen geweest en werkt nu verschillende scenario’s uit, onder andere voor alternatieve manieren van communicatie tussen studenten en docenten. Daarover wordt later op vrijdag een mededeling verstuurd aan alle betrokkenen.

Vorige week werd bekend dat de persoonlijke gegevens van studenten en docenten zijn buitgemaakt. De gegevens komen uit Canvas, een onderwijsapplicatie die zo’n negenduizend instellingen van over de hele wereld gebruiken. De aanval is opgeëist door ShinyHunters, een hackersgroep die eerder betrokken was bij de Odido-inbraak.

Aanvankelijk moest het Amerikaanse Instructure, de maker van Canvas, uiterlijk woensdag losgeld betalen, anders zouden alle gegevens openbaar gemaakt worden. Maar de deadline is nu met zes dagen verschoven, meldt Shinyhunters op zijn website.

‘Betaal geen losgeld’

In Nederland maken zeven universiteiten en zeker twee hogescholen gebruik van Canvas. Het gaat om de twee Amsterdamse universiteiten, de Erasmus Universiteit, Tilburg University, de Universiteit Maastricht, de Universiteit Twente en de TU Eindhoven, en om de Hogeschool Utrecht en Fontys. Studenten en medewerkers wordt gevraagd “waakzaam te zijn voor mogelijke phishingmails naar aanleiding van het datalek”, schrijft koepelvereniging UNL.

Na de hack op Odido gaf de overheid het dringende advies om hackers geen losgeld te betalen. Het kan best dat hackers hun beloftes niet nakomen. “Het uitbetalen van losgeld houdt het verdienmodel van criminelen in stand”, schreef de minister van justitie en veiligheid, David van Weel, destijds.