De Kamer is niet blij. Wetgevers eisen dat Instructure komt opdagen. Ze willen getuigenissen. Waarom? Omdat het onderwijsplatform twee keer werd gehackt. Miljoenen studenten. Miljoenen leraren. Allemaal blootgesteld.
En Instructure was traag. Heel langzaam.
“Het Congres wil instructies geven om vragen te beantwoorden”
De deal met ShinyHunters ziet er op papier goed uit. De hackers beloofden de gestolen gegevens te vernietigen. Geen afpersing meer. Gewoon stilte. Instructure zei dat ze “versnipperde boomstammen” als bewijs hadden ontvangen. Digitale bevestiging, soort van.
Maar gelooft iemand ransomwaregroepen?
Vertegenwoordiger Andrew Garbarino is voorzitter van het Homeland Security Committee. Hij stuurt brieven. Hij wil weten hoe de afstemming met CISA is verlopen. Was het voldoende? De Cybersecurity and Infrastructure Security Agency hielp de ontploffing onder controle te houden. Externe forensische experts, Instructure belde ze. Garbarino ziet dat er iets ontbreekt in dat verhaal.
Hij is een Republikein uit New York. Hij geeft niet veel om bedrijfsontduiking. Zijn brief aan CEO Steve Daly snijdt tot op het bot:
- Hoe zijn ze weer binnengekomen?
- Wat is er precies gestolen?
Gebruikersnamen. E-mails. Cursusnamen. Berichten tussen leraren en kinderen. Inschrijvingen. Instructure somt deze op alsof het kleine ongemakken zijn. Dat zijn ze niet. Dit zijn levens.
De dubbele tik
29 april. ShinyHunters kwam binnen. Ze gebruikten een fout die verband hield met ‘Free-For-Teacher’-accounts. Het is een specifieke vector. Een achterdeur die ze openhielden of misschien net vonden.
Ze schrapten alles wat ze konden vinden.
Toen pauzeerden ze.
Tot 7 mei. Het was weer raak. Deze keer lieten ze een briefje achter. Een digitale bespotting op het inlogscherm. Instruct raakte in paniek. Goed. Dat hadden ze moeten doen. Canvas ging in de onderhoudsmodus. Studenten logden in. Er gebeurde niets. Gewoon een muur van code met de tekst ‘probeer het later’.
ShinyHunters beweerden dat meer dan 9.000 instellingen in hun vizier zaten. Universiteiten. Openbare scholen. K-12 overal. Dat betekent minderjarigen. Gegevens van minderjarige kinderen zweven rond op het dark web. Dat is een nachtmerrie voor privacyvoorvechters. En voor ouders.
Wie zijn ShinyHunters eigenlijk?
Als de naam bekend klinkt. Goed. Het zou moeten.
Dit is geen willekeurig kind met een laptop. Het is een georganiseerd collectief. Ransomware-veteranen. Ze hebben onlangs Anodot overgenomen. Ze hebben in april de bedrijfsgegevens van Rockstar Games bemachtigd. Microsoft? Cisco? AT&T? Ze hebben daar gekeken. Verzekeringsmaatschappijen? Kredietverenigingen? Iedereen die gevoelige gegevens bezit, is een doelwit.
Instructuur is niet uniek. Gewoon spraakmakend.
Op dit moment werkt Canvas. Grotendeels. Free-For-Teacher-accounts zijn echter dood. Tijdelijk uitgeschakeld. Instructure zegt dat de forensische partner geen actieve dreiging ziet. De acteurs zijn eruit. Of tenminste. Ze zijn stil.
Er staat een webinar gepland. Misschien voor 13 mei? De data blijven verschuiven. Voor al het andere verwijst het bedrijf naar hun incidentpagina. Standaard PR-zet. Afbuigen. Raadpleeg de blogpost.
Het losgeld betalen. Opnieuw.
Hier is de echte controverse.
Instructie betaald.
Ze bereikten een akkoord. ShinyHunters heeft de gegevens (naar verluidt) verwijderd. Met trots maakte Instructure deze deal bekend. Experts uit de sector haten dit. De FBI haat dit.
“Het normaliseert het patroon voor toekomstige criminelen”
Troy Hunt rent Have I Been Pwned. Hij spoort inbreuken op voor de kost. Hij vindt dit een vreselijk advies. Het betalen van criminelen maakt misdaad winstgevend. Het zendt een signaal uit. Misdaad loont.
Waarom deden ze het? Schaal. Domein. Druk van scholen. Ouders schreeuwen over de veiligheid van hun kinderen. Instructure voelde zich in een hoek gedreven. Misschien dachten ze dat dit de enige manier was om de lekken te stoppen.
Hunt koopt de versnipperde boomstammen niet.
“Er is nooit volledige zekerheid”, beweert de website van Instructure. Zelfs zij weten dit. Toch noemden ze het een succes.
Kijk eens naar PowerSchool. Eind 2024. Ze betaalden ShinyHunters. Ik heb een video van de hackers die harde schijven branden (digitaal). Zijn de gegevens verdwenen? Nee. Het kwam later naar boven. Leraren werden individueel afgeperst. Er werd meer geld gevraagd. Voor dezelfde gegevens.
Dat patroon bestaat. Het herhaalt zich.
Instructure denkt dat ze de kogel hebben ontweken. De FBI denkt dat ze de wolf hebben gevoed. Troy Hunt denkt dat dit een waarschuwing is voor elk ander bedrijf dat op studentengegevens zit.
Zijn de kopieën verdwenen?
Waarschijnlijk niet.
ShinyHunters zijn ervaren. Ze hebben waarschijnlijk back-ups. Buiten het terrein. Gecodeerd. Wachten op een nieuwe opening.
Instructure zegt dat er geen bewijs is van huidige toegang. De forensische partner zegt dat ze veilig zijn. Maar veilig is niet veilig. En vernietigd is niet verdwenen.
Miljoenen studentenrecords. Daarbuiten. Ergens.
Wachten op de volgende eis.
