Universiteiten liggen plat door grote ransomware-aanval

Door de hack zijn de gegevens van 44 Nederlandse universiteiten en hogescholen gestolen, volgens de hackersgroep. Onder andere de Universiteit van Amsterdam, de Hogeschool Utrecht, de Erasmus Universiteit, de Universiteit Maastricht en de Universiteit Twente zijn geraakt door de hack. De gegevens van naar schatting duizenden Nederlandse studenten zijn in gevaar.

8.809 universiteiten wereldwijd

Wereldwijd gaat het om gegevens van 275 miljoen mensen van 8.809 onderwijsinstellingen. De volledige lijst van de getroffen onderwijsinstellingen is door ShinyHunters op 2 mei gepubliceerd op het darkweb. Daar staan volgens de TU Eindhoven ook instellingen op die Canvas niet gebruiken, dus hoe accuraat die lijst is, valt te bezien. Volgens Instructure, de softwareleverancier van Canvas, blijkt uit hun onderzoek dat er namen, e-mailadressen en wat berichtenverkeer is gestolen, maar dat meer gevoelige informatie, zoals wachtwoorden, verjaardagen en financiële gegevens niet zijn buitgemaakt.

Ook techbedrijven

Onderwijsplatform Canvas, het systeem waarbij is ingebroken, wordt gebruikt door zevenduizend onderwijsinstellingen in de hele wereld. In het systeem worden syllabi en cursusmateriaal gedeeld, met studenten gecommuniceerd, tentamens afgenomen en opdrachten ingeleverd. Niet alleen Harvard, MIT en Oxford staan op de lijst van slachtoffers, maar ook grote techbedrijven zoals Amazon, Apple en Cisco. Zij gebruiken het systeem mogelijk voor interne opleidingen.

Let op, phishing

Nederlandse universiteiten waarschuwen studenten om alert te zijn op phishing mails. De Vrije Universiteit heeft uit voorzorg alle systemen die verbinding hebben met Canvas losgekoppeld. Op de site van de VU was volgens BNR op donderdagavond een boodschap van ShinyHunters te zien, net als op de website van de UvA.

Aanval op Instructure

Volgens The Next Web is dit geen aanval op de onderwijsinstellingen, maar op het softwarebedrijf Instructure, leverancier van Canvas. ShinyHunters brak eerder in bij Odido en ook de Snowflake-supply chain-aanvallen uit waarbij honderden miljoenen gegevens van Ticketmaster werden gestolen. Ze wisten eind april al in te breken bij Instructure, een paar dagen later liet de CISO van het softwarebedrijf weten dat het lek was gedicht. De volgende dag lieten de hackers weten dat ze toch gegevens hadden gestolen, ze lieten een zogenaamd ‘pay or leak’ bericht achter op het darkweb. Bovendien braken ze opnieuw in, om de waarschuwing op de inlogpagina’s te zetten.

En nu

Wat Instructure gaat doen, is nog niet duidelijk. De hackers hebben een ultimatum gesteld: tot 12 mei heeft het bedrijf de tijd om in overleg te gaan en te betalen, anders worden alle gestolen data gepubliceerd. Volgens BNR spoort ShinyHunters getroffen universiteiten en hogescholen aan om rechtstreeks met ze te onderhandelen. Dat zou kunnen betekenen dat Instructure nog niet in gesprek is met de hackers, maar met zekerheid is het niet te zeggen.