Het Amerikaanse technologiebedrijf Instructure, eigenaar van het leerplatform Canvas, heeft een akkoord bereikt met de cybercrimegroep ShinyHunters om een datalek van 3,65TB te stoppen. De aanvallers hadden het netwerk van Instructure gehackt en dreigden gevoelige informatie van bijna 9.000 scholen en universiteiten openbaar te maken. In een update gaf het bedrijf uit Utah aan dat het een overeenkomst heeft gesloten met de onbevoegde actor vanwege zorgen over mogelijke publicatie van de gestolen data, waarbij het losgeld is betaald en de data is teruggegeven met digitale bevestiging van vernietiging.

Volgens Instructure zal geen enkele klant afzonderlijk worden afgeperst als gevolg van de hack. Het bedrijf benadrukt dat hoewel er nooit volledige zekerheid is bij het omgaan met cybercriminelen, het belangrijk was om alle mogelijke stappen te nemen om klanten extra geruststelling te bieden. Instructure werkt daarnaast samen met externe experts om forensisch onderzoek te ondersteunen, de cybersecurity te verbeteren en een grondige beoordeling van de betrokken data uit te voeren.

De aanval vond eind april plaats en maakte gebruik van een onbekende kwetsbaarheid in het Free-for-Teacher-omgeving, gerelateerd aan supporttickets, waarmee aanvallers toegang kregen en ongeveer 275 miljoen records met gebruikersnamen, e-mailadressen, cursusnamen, inschrijvingsgegevens en berichten wisten te stelen. Instructure benadrukt dat cursusinhoud, inzendingen en inloggegevens niet zijn aangetast. Na de inbraak zijn de Free-for-Teacher-accounts tijdelijk uitgeschakeld.

Op 7 mei werd een tweede golf van ongeautoriseerde activiteiten gedetecteerd, waarbij de Canvas-loginportalen van circa 330 instellingen werden beklad met afpersingsberichten. De aanvallers gaven Instructure een deadline van 12 mei om te onderhandelen over het losgeld, anders zouden ze de data openbaar maken. In reactie heeft Instructure onder meer geprivilegieerde credentials ingetrokken, toegangstokens geroteerd en extra beveiligingsmaatregelen doorgevoerd.

Volgens cybersecurityspecialisten biedt de gestolen data voldoende persoonlijke informatie om gerichte phishingcampagnes op personeel, studenten en ouders uit te voeren. Instellingen worden geadviseerd om direct waarschuwingen uit te geven en communicatie te intensiveren om vervolgincidenten te voorkomen.