Bedrijf achter Canvas sluit akkoord met hackers: studentengegevens opnieuw veilig
Het moederbedrijf achter het gehackte leerplatform Canvas heeft een akkoord bereikt met de cybercriminelen. Gestolen data, onder andere van de VUB en Vlaamse hogescholen, zouden terug veilig zijn.
Instructure, het bedrijf achter Canvas, heeft voor de opgegeven deadline van 12 mei een akkoord gesloten met de cybercriminelen van Shinyhunters. Die konden op 29 april en 7 mei binnenbreken in het leerplatform. Vorige week werd de omvang van het hack duidelijk: de hackers konden gegevens van 275 miljoen studenten van bijna 9.000 scholen wereldwijd stelen. In België konden de VUB en verschillende hogescholen zich tot de slachtoffers rekenen.
Gevoelige gegevens zoals gebruikersnamen, mailadressen, informatie over de inschrijving bij een onderwijsinstelling en berichten werden buitgemaakt. Shinyhunters dreigde ermee om de gestolen data voor vandaag publiek te maken.
Succesvolel onderhandelingen
Infrastructure heeft nu laten weten dat er effectief onderhandeld werd met de criminelen. Details over de overeenkomst weten we niet, maar de slachtoffers van het Canvas-hack zouden wel opnieuw op twee oren kunnen slapen.
Alle gestolen data zijn teruggegeven aan Infrastructure en het bedrijf heeft een digitale bevestiging van de vernietiging van gestolen data bij de hackers ontvangen. Shinyhunters laat ook weten geen slachtoffers te zullen afpersen. De overeenkomst heeft betrekking op alle studenten en scholen die betrokken waren bij het hack.
Transparantie
Het is redelijk uitzonderlijk dat een onderneming die het slachtoffer is geworden van zo’n publieke hack ook openlijk uitkomt voor het feit dat er onderhandelend een overeenkomst is bereikt. Die transparantie is lovenswaardig.
Onderhandelingen gebeuren vaak, maar worden zelden aan de grote klok gehangen. Dat de onderhandeling ontkend kan worden, is soms zelfs deel van de gesloten overeenkomst. Criminelen publiceren dan bijvoorbeeld valse waardeloze data, waardoor het lijkt dat er niet betaald is, en ze enkel rommel hadden gestolen.
Instructure kiest hier voor een redelijk niveau van openheid. Of het bedrijf betaald heeft en hoeveel, weten we niet. De kans dat Shinyhunters en Instructure tot een financiële overeenkomst zijn gekomen, is wel enorm groot.
Geen sluitende garanties
Wat de garanties van Shinyhunters betreft, zijn enkele kanttekeningen noodzakelijk. Hackers-collectieven zoals Shinyhunters houden in principe hun woord: wanneer er een overeenkomst wordt gesloten, stopt de afpersing. Die reputatie is essentieel: anders zou niemand losgeld betalen.
Of data echt verwijderd zijn, is echter onmogelijk te bewijzen. De logs tonen enkel dat een kopie van de data is gewist, niet dat het zeker de enige kopie was. In principe kunnen slachtoffers nu wel gerust zijn dat dit voor hen het einde van het Canvas-hackverhaal is.
Na het hack heeft Instructure Canvas uit veiligheidsoverwegingen offline gehaald. Het portaal staat intussen terug live. Steve Daly, de CEO van Instructure, biedt tot slot nog zijn uitdrukkelijke excuses aan.