Vorige week werd bekend dat de persoonlijke gegevens van studenten en docenten zijn buitgemaakt. De gegevens komen uit Canvas, een onderwijsapplicatie die zo’n negenduizend instellingen van over de hele wereld gebruiken. De aanval is opgeëist door ShinyHunters, een hackersgroep die eerder betrokken was bij de Odido-inbraak.

Donderdagavond hebben de hackers op verschillende Canvas-websites, ook van Nederlandse instellingen, een bericht geplaatst. Ze hebben het programma opnieuw gekraakt, zeggen ze. Update 12.00 uur: de TU/e heeft alle systemen die met Canvas in verbinding stonden losgekoppeld. 

Aanvankelijk moest het Amerikaanse Instructure, de maker van Canvas, uiterlijk woensdag losgeld betalen, anders zouden alle gegevens openbaar gemaakt worden. Maar de deadline is nu met zes dagen verschoven, meldt Shinyhunters op zijn website.

Volgens de groep hebben meerdere instellingen contact opgenomen. Welke dat zijn of uit welk land ze komen, staat er niet bij. Universiteiten en hogescholen kunnen tot 12 mei onderhandelen om hun gegevens privé te houden. Volgens de groep heeft Instructure zelf nog geen contact gezocht.

‘Betaal geen losgeld’

In Nederland maken zeven universiteiten en zeker twee hogescholen gebruik van Canvas. Het gaat om de twee Amsterdamse universiteiten, de Erasmus Universiteit, Tilburg University, de Universiteit Maastricht, de Universiteit Twente en de TU Eindhoven, en om de Hogeschool Utrecht en Fontys. Studenten en medewerkers wordt gevraagd “waakzaam te zijn voor mogelijke phishingmails naar aanleiding van het datalek”, schrijft koepelvereniging UNL.

Na de hack op Odido gaf de overheid het dringende advies om hackers geen losgeld te betalen. Het kan best dat hackers hun beloftes niet nakomen. “Het uitbetalen van losgeld houdt het verdienmodel van criminelen in stand”, schreef de minister van justitie en veiligheid, David van Weel, destijds.

Uit principe

De TU/e volgt het advies van de overheid op, zegt woordvoerder Ivo Jongsma in een schriftelijke reactie: ‘De Nederlandse overheid raadt dringend aan om geen losgeld te betalen bij cyberaanvallen. In het verlengde daarvan achten we het niet verstandig open te staan voor onderhandelingen.’

‘De deur openzetten voor onderhandelingen kan de indruk wekken dat er toch iets te halen valt bij ons, wat weer nieuwe aanvallen kan uitlokken. Bovendien willen we uit principe niet onderhandelen met criminelen.’