Zeven Nederlandse universiteiten geraakt door Canvas-hack en vage deal

Zeven Nederlandse universiteiten zijn geraakt door het grote datalek bij onderwijsplatform Canvas. Moederbedrijf Instructure zegt inmiddels een overeenkomst te hebben gesloten met de aanvaller, maar laat juist de gevoeligste vraag onbeantwoord: wat is er precies afgesproken om gestolen studentdata uit handen van criminelen te houden?

Instructure schrijft dat het met de “unauthorized actor” een akkoord heeft bereikt. Volgens het bedrijf is de gestolen data teruggegeven, zijn digitale vernietigingslogs ontvangen en is meegedeeld dat geen enkele Instructure-klant nog publiek of privé zal worden afgeperst. Ook zegt het bedrijf dat individuele klanten zelf geen contact meer hoeven te zoeken met de aanvaller.

Maar één detail ontbreekt volledig. Instructure zegt nergens dat er níét is betaald. Het bedrijf zegt alleen dat het “every step within our control” heeft genomen om klanten meer geruststelling te geven, terwijl het tegelijk erkent dat er bij cybercriminelen nooit volledige zekerheid bestaat.

Dit maakt dit geen afgerond geruststellingsverhaal, maar een deal waarvan de belangrijkste voorwaarden buiten beeld blijven. Die laatste duiding is een journalistieke gevolgtrekking op basis van de eigen formulering van Instructure.

Universiteiten van Nederland meldde al op 6 mei dat gegevens van studenten en medewerkers van zeven Nederlandse universiteiten volgens Instructure bij het datalek betrokken zijn. Op 11 mei liet UNL weten dat Canvas bij die zeven universiteiten nog steeds ontkoppeld was en dat de instellingen samen met Instructure werkten aan vervolgstappen om het platform weer veilig beschikbaar te maken.

UNL voegde daar een belangrijk detail aan toe: de Nederlandse universiteiten zijn niet door de hackgroep benaderd om losgeld te betalen voor de data. Tegelijk maken de universiteiten voor een herstart van Canvas nog altijd een uitgebreide risicoafweging, waarbij naast technisch onderzoek ook juridische en privacytoetsen lopen.

Dat is precies waarom deze zaak groter is dan een gewoon cyberincident. De instellingen zijn wel slachtoffer van het lek, maar niet de partij die de deal sloot. Daardoor blijven studenten, medewerkers en toezichthouders afhankelijk van wat een buitenlandse leverancier bereid is te vertellen over een akkoord met cybercriminelen. Dat is een journalistieke gevolgtrekking op basis van de UNL-update en de verklaring van Instructure.

De precieze impact verschilt per instelling en is nog niet overal volledig uitgesplitst. VU Amsterdam schrijft bijvoorbeeld dat het nog geen definitieve bevestiging heeft ontvangen welke exacte VU-data zijn geraakt. Wel noemt de universiteit namen van studenten en medewerkers, e-mailadressen, student-ID’s en berichten tussen gebruikers als mogelijke buitgemaakte gegevens. Volgens Instructure zijn geen wachtwoorden gelekt.

Tilburg University geeft een vergelijkbaar beeld. Volgens die universiteit kunnen namen, e-mailadressen, studentnummers en berichten tussen Canvas-gebruikers betrokken zijn, terwijl er op dit moment geen aanwijzingen zijn dat wachtwoorden, financiële gegevens of andere gevoelige persoonsgegevens zijn buitgemaakt.

Reuters meldde op basis van de verklaring van Instructure dat het incident informatie omvatte zoals usernames, e-mailadressen, cursusnamen, inschrijfinformatie en berichten. Kerngegevens van het onderwijsproces, zoals course content, submissions en credentials, zouden niet zijn gecompromitteerd.

Voor studenten en medewerkers zit het directe gevaar voorlopig daarom niet vooral in een lege bankrekening, maar in overtuigende fraudeberichten. VU Amsterdam waarschuwt expliciet dat de gelekte data kunnen worden gebruikt voor phishingmails en vraagt studenten en medewerkers extra alert te zijn op onverwachte berichten of verzoeken om persoonsgegevens.

Tilburg University geeft dezelfde waarschuwing en noemt specifiek onverwachte e-mails, verzoeken om inloggegevens, links van onbekende afzenders en berichten met urgent taalgebruik als risico’s. Juist omdat de data uit een echte onderwijsomgeving komen, kunnen zulke nepmails geloofwaardiger overkomen dan gewone spam.

Instructure houdt vol dat Canvas weer veilig te gebruiken is. Het bedrijf zegt dat de aanvaller misbruik maakte van een probleem rond Free-For-Teacher-accounts en dat die toegangspad inmiddels tijdelijk is afgesloten. Daarnaast zouden privileged credentials en access tokens zijn ingetrokken, interne sleutels zijn geroteerd, extra platformbeveiliging zijn uitgerold en monitoring zijn uitgebreid.

Reuters meldde ook dat CEO Steve Daly publiek excuses heeft aangeboden en zei dat Canvas “fully operational” is en “remains safe to use”. Tegelijk laat de Nederlandse praktijk zien dat universiteiten daar nog niet zomaar in meegaan: UNL meldde op 11 mei nog dat het platform ontkoppeld bleef zolang de risicoafweging en aanvullende checks liepen.

Daarmee is de kloof meteen zichtbaar. De leverancier zegt dat het systeem veilig is. De gebruikerskant in Nederland zegt feitelijk: dat moet eerst beter worden onderbouwd. Ook dat maakt dit vooral een governance-verhaal. Die laatste zin is een journalistieke duiding op basis van de twee publieke lijnen.

Op instellingsniveau schuift ook de privacyvraag naar voren. VU Amsterdam meldt dat een voorlopige melding is gedaan bij de Autoriteit Persoonsgegevens. Tilburg University schrijft eveneens dat een voorlopige melding is ingediend bij de Nederlandse privacytoezichthouder.

Dat is relevant, omdat het laat zien dat de zaak voor Nederlandse universiteiten niet ophoudt bij technisch herstel. Naast de vraag of Canvas weer online kan, moeten instellingen ook kunnen uitleggen welke risico’s zijn beoordeeld, welke gegevens mogelijk zijn geraakt en welke vervolgstappen nodig zijn voor betrokken studenten en medewerkers. Die laatste observatie is een journalistieke gevolgtrekking op basis van de publieke universiteitsupdates.

Wat er op dit moment dus wél publiek ligt, is vrij helder: Instructure bevestigt een akkoord, zegt dat de data zijn teruggegeven, zegt dat vernietigingslogs zijn ontvangen en zegt dat verdere afpersing stopt. Wat níét publiek ligt, is minstens zo belangrijk: of er geld is betaald, welke juridische voorwaarden aan die deal hingen en hoe controleerbaar een vernietigingsclaim van een cybercrimineel werkelijk is.

Voor Nederlandse universiteiten is dat geen detail. Zij gebruiken Canvas als kernsysteem voor onderwijs, communicatie en toetsing, maar waren voor de afhandeling van dit incident afhankelijk van besluiten van een Amerikaanse leverancier. Daardoor raakt de nasleep van deze hack niet alleen aan cybersecurity, maar ook aan toezicht, aansprakelijkheid en bestuurlijke verantwoordelijkheid in het Nederlandse hoger onderwijs. Dat is een journalistieke slotsom op basis van de publieke verklaringen van Instructure en UNL.

Voor crypto-lezers is nog één nuance belangrijk. In zaken als deze lopen afpersing en digitale betaalroutes vaak in elkaar over, maar in het Canvas-dossier is op dit moment niet bevestigd dat er is betaald, laat staan via crypto. De relevante conclusie is dus niet dat dit een bewezen crypto-losgeldzaak is, maar dat het opnieuw laat zien hoe weinig transparant de financiële achterkant van moderne cyberafpersing vaak blijft.