Live: Universiteit trekt stekker uit Canvas na mogelijk nieuwe hack door ShinyHunters (beëindigd)

Studenten die sinds vrijdagochtend willen inloggen op canvas.eur.nl komen voor een dichte deur te staan. De site is volledig onbereikbaar. Vanwege een mogelijk nieuwe cyberaanval op de onderwijssoftware op donderdagavond, heeft de universiteit de stekker uit het systeem getrokken voor onbekende tijd.

Dinsdag 17.22 uur: Canvas vanaf woensdag weer beschikbaar

Nu de hackers de data verwijderd hebben en moederbedrijf Instructure extra beveiligingsmaatregelen genomen heeft, zal de universiteit woensdag Canvas langzaam weer opstarten. Met dit nieuws beëindigen we dit liveblog.

10.19 uur: Hackers verwijderen data

Moederbedrijf Instructure zegt een deal gesloten te hebben met hackergroep ShinyHunters. De gebruikersdata is gewist en Canvas zou weer veilig te gebruiken moeten zijn. De hackers hebben de deal bevestigd. Wanneer Canvas ook echt weer online komt voor EUR-gebruikers is nog onbekend.

Maandag 16.14 uur: EUR biedt alternatieven

Canvas blijft voorlopig offline. Om te voorkomen dat studenten en medewerkers onveilige tools gaan gebruiken, biedt de universiteit nu alternatieven aan voor de communicatie tussen studenten en docenten.

14.00 uur: Pas op phishing

Hackergroep ShinyHunters dreigt dinsdag de gestolen persoonsgegevens uit Canvas te publiceren op het dark web. Daarom neemt het risico toe dat studenten en medewerkers phishingmails ontvangen, mails die bijvoorbeeld van de universiteit afkomstig zijn maar stiekem door anderen zijn verstuurd. Lees wat je kunt doen tegen phishing.

Zaterdag 12.30 uur: Hele weekend zonder Canvas, onderwijs gaat door

Ook dit weekend zal het niet mogelijk om gebruik te maken van het onderwijssoftwarepakket Canvas. Het onderwijs zal komende week in elk geval onveranderd doorgaan. Dat geldt ook voor tentamens, tenzij een faculteit anders aangeeft. Volgens de universiteit wordt er hard gewerkt aan alternatieven. Tot die tijd worden studenten en docenten aangeraden gebruik te maken van andere kanalen, zolang dat binnen het ecosysteem van de EUR is. Sommige docenten hebben ondertussen al hun toevlucht gezocht bij Dropbox. Maandagmiddag volgt een nieuwe update.

Vrijdag 13.00 uur: De rest van de vrijdag geen Canvas

Canvas komt vrijdag niet meer online, laat een woordvoerder weten. “We werken hard aan een oplossing en hopen zo snel mogelijk meer duidelijkheid te kunnen bieden. We adviseren studenten, docenten en medewerkers om universiteitsgerelateerde informatie uitsluitend te delen via officiële EUR-kanalen, zoals Microsoft Teams en EUR-e-mail. Vermijd het delen van gevoelige of werkgerelateerde informatie via externe platforms.” Zaterdag om 12.00 uur belooft de universiteit een nieuwe update via MyEUR.

9.37 uur: De universiteit trekt de stekker tijdelijk uit Canvas vanwege nieuwe hack

Gisteravond kregen sommige studenten van de Erasmus Universiteit na inloggen op Canvas een bericht van ShinyHunters te zien. Daarop was te lezen dat de hackergroep opnieuw de infrastructuur van softwarebedrijf Instructure, de eigenaar van Canvas, heeft gehackt: “In plaats van contact met ons op te nemen om dit op te lossen hebben ze ons genegeerd en een paar beveiligingsupdates gedaan.” De hackers roepen de instellingen op om via een cybersecuritybedrijf contact op te nemen om het uitlekken van hun gebruikersdata te voorkomen.

Gebeurt dat niet, dan worden de gegevens op 12 mei gepubliceerd op het dark web. Daarmee krijgen de instellingen zes dagen meer de tijd dan de hackers eerst gaven.

Systeem uit

Volgens een woordvoerder van de universiteit is het onduidelijk of het om een nieuwe hack gaat, of dat de hackers sinds de eerste hack op zondag nog in het systeem zaten.

Uit voorzorg heeft de universiteit donderdagavond het systeem uitgezet. Dat betekent dat studenten en docenten niet meer bij hun onderwijsmaterialen kunnen, hun cijfers kunnen inzien of berichten aan elkaar kunnen sturen.

Alternatieve communicatiemiddelen

Hoelang deze situatie voortduurt is nog onduidelijk. Het crisisoverleg van de universiteit is vanochtend bijeen geweest en werkt nu verschillende scenario’s uit, onder andere voor alternatieve manieren van communicatie tussen studenten en docenten. Daarover wordt later op vrijdag een mededeling verstuurd aan alle betrokkenen.

Vorige week werd bekend dat de persoonlijke gegevens van studenten en docenten zijn buitgemaakt. De gegevens komen uit Canvas, een onderwijsapplicatie die zo’n negenduizend instellingen van over de hele wereld gebruiken. De aanval is opgeëist door ShinyHunters, een hackersgroep die eerder betrokken was bij de Odido-inbraak.

Aanvankelijk moest het Amerikaanse Instructure, de maker van Canvas, uiterlijk woensdag losgeld betalen, anders zouden alle gegevens openbaar gemaakt worden. Maar de deadline is nu met zes dagen verschoven, meldt Shinyhunters op zijn website.

‘Betaal geen losgeld’

In Nederland maken zeven universiteiten en zeker twee hogescholen gebruik van Canvas. Het gaat om de twee Amsterdamse universiteiten, de Erasmus Universiteit, Tilburg University, de Universiteit Maastricht, de Universiteit Twente en de TU Eindhoven, en om de Hogeschool Utrecht en Fontys. Studenten en medewerkers wordt gevraagd ‘waakzaam te zijn voor mogelijke phishingmails naar aanleiding van het datalek’, schrijft koepelvereniging UNL.

Na de hack op Odido gaf de overheid het dringende advies om hackers geen losgeld te betalen. Het kan best dat hackers hun beloftes niet nakomen. “Het uitbetalen van losgeld houdt het verdienmodel van criminelen in stand”, schreef de minister van justitie en veiligheid, David van Weel, destijds.