De Canvas-omgeving van de Universiteit Maastricht is, net als zo’n negenduizend andere onderwijsinstellingen in de wereld, getroffen door de hack. In een mail aan studenten en medewerkers van de UM werd op woensdag 6 mei meegedeeld dat “niet kan worden uitgesloten” dat er gegevens zijn gelekt, zoals e-mailadressen. Er wordt dan ook gewaarschuwd voor phishing-mails. Na een aantal beveiligingsmaatregelen is het echter “veilig om Canvas te gebruiken”, sluit het bericht af.
Maar een dag later plaatsen de hackers op verschillende Canvas-websites een bericht. Ze hebben het programma opnieuw gekraakt, zeggen ze. Volgens UM-woordvoerder Koen Augustijn is het onduidelijk of dat ook in de Maastrichtse Canvas-omgeving is gebeurd. De UM heeft daarop toch besloten alle systemen die nog met de applicatie in verbinding stonden los te koppelen. Daardoor is Canvas onbruikbaar. Dat het voor problemen zorgt voor studenten en medewerkers, is wel duidelijk, maar hoe groot de problemen zijn, weet Augustijn niet. Ook kan hij nog geen antwoord geven op de vraag wanneer Canvas weer ‘in de lucht’ gaat.
Deadline
De aanval is opgeëist door ShinyHunters, een hackersgroep die eerder betrokken was bij de Odido-inbraak. Aanvankelijk moest het Amerikaanse Instructure, de maker van Canvas, uiterlijk woensdag losgeld betalen, anders zouden alle gegevens openbaar gemaakt worden. Maar de deadline is nu met zes dagen verschoven, meldt Shinyhunters op zijn website.
Volgens de groep hebben meerdere instellingen contact opgenomen (de UM niet). Universiteiten en hogescholen kunnen tot 12 mei onderhandelen om hun gegevens privé te houden. Volgens de groep heeft Instructure zelf nog geen contact gezocht.
Losgeld
Na de hack op Odido gaf de overheid het dringende advies om hackers geen losgeld te betalen. Het kan best dat hackers hun beloftes niet nakomen. “Het uitbetalen van losgeld houdt het verdienmodel van criminelen in stand”, schreef de minister van justitie en veiligheid, David van Weel, destijds.
In december 2019 werd de UM slachtoffer van een grote ransomware-aanval. Om de toegang tot haar data terug te krijgen, besloot de universiteit 200 duizend aan losgeld in bitcoins te betalen. In maart 2025 kreeg de universiteit het bedrag terug op de bankrekening. De politie en het Openbaar Ministerie waren een deel van het bedrag al vrij snel, in 2020, op het spoor gekomen, men slaagde erin een ‘wallet’ met 40 duizend euro aan cryptovaluta te bevriezen. Toen het uiteindelijk lukte om het geld naar Nederland te halen, was de waarde gestegen naar een half miljoen euro.
Wendy Degens/ HOP