Meerdere universiteiten in de Verenigde Staten hebben hun eindexamens moeten uitstellen na een cyberaanval op Canvas, een veelgebruikt onderwijsplatform van Instructure. Studenten meldden donderdag op sociale media dat zij een bericht zagen van de cybercriminelenbende ShinyHunters tijdens het gebruik van Canvas. In dit bericht verklaarde de groep dat zij Instructure opnieuw hadden gehackt, nadat het bedrijf vorige week niet had onderhandeld over een losgeldbetaling. De hackers stelden scholen voor om uiterlijk 12 mei rechtstreeks contact met hen op te nemen om een losgeld te bespreken.

Instructure verwijderde het bericht snel en plaatste een onderhoudspagina. Het bedrijf nam het Canvas-platform enkele uren offline, wat leidde tot waarschuwingen voor studenten van tientallen staats- en universiteitsinstellingen, waaronder Baylor University, University of Texas, Duke en Ohio State. Ook diverse K-12 schooldistricten meldden problemen door de uitval van Canvas. Scholen adviseerden studenten alert te zijn op phishing en het platform niet te gebruiken totdat de veiligheid was bevestigd.

Volgens een woordvoerder van Instructure, die tegenover Recorded Future News sprak, hebben de hackers wijzigingen aangebracht op pagina’s die zichtbaar waren voor ingelogde studenten en docenten. Uit voorzorg werd Canvas direct offline gehaald om verdere toegang te beperken en onderzoek te doen. De kwetsbaarheid bleek te liggen bij de gratis accounts voor docenten, die tijdelijk zijn uitgeschakeld. Inmiddels is Canvas volledig hersteld en weer beschikbaar.

In een FAQ gaf Instructure aan dat de FBI, de Cybersecurity and Infrastructure Security Agency (CISA) en internationale opsporingsinstanties op de hoogte zijn gebracht. De FBI weigerde commentaar en CISA reageerde niet. Het incident van donderdag wordt in verband gebracht met een eerdere aanval door dezelfde groep op 29 april. Na die aanval werd de toegang van de hackers ingetrokken, een onderzoek gestart en externe cybersecurity-experts ingeschakeld. Instructure informeerde de getroffen scholen op 5 mei over de eerste aanval.

Hoewel tijdens de eerste aanval gegevens zoals namen, e-mailadressen, studentnummers en berichten tussen Canvas-gebruikers zijn gestolen, is er bij het incident van donderdag geen nieuwe data buitgemaakt. Instructure gaf geen commentaar op mogelijke losgeldbetalingen. De hackersgroep ShinyHunters claimde vorige week 3,6 TB aan data te hebben gestolen van meer dan 9.000 scholen. Op sociale media uitten studenten hun zorgen en frustraties over de aanval, vooral omdat deze vlak voor de eindexamens plaatsvond.