Instructure uppger avtal med hackare stoppar läcka från universitetsplattformen Canvas

Ett omfattande dataintrång som berört svenska universitet tycks ha stoppats efter att utbildningsplattformen Instructures bolag uppgett att man ”nått en överenskommelse” med de kriminella bakom angreppet. Hackergruppen Shiny Hunters har därefter tagit bort ärendet från sin mörkernätssida, rapporterar Dagens Nyheter. Angreppet riktades mot Instructures tjänst Canvas, som används av fler än 30 svenska lärosäten.

Händelsen blottlägger en ofta osynlig men central del av dagens hantering av dataintrång: det snabbaste sättet att få ett läckage att upphöra är ofta att förhandla med dem som hotar att publicera. Instructure har inte förklarat vad ”överenskommelse” innebär, men enligt DN bedömer it-säkerhetsspecialisten Karl Emil Nikka att ordvalet ligger i linje med att en betalning skett, även om han saknar direkt insyn i bolagets agerande. Instructure uppger att man fått en ”bekräftelse” på att stulna uppgifter förstörts, styrkt med loggfiler – underlag som kan förfalskas – och att man dessutom fått en garanti om att ingen ytterligare utpressning ska följa.

Canvas är ett bärande skikt i universitetens administration och undervisning och rymmer personuppgifter samt intern kommunikation. DN nämner bland annat Uppsala universitet, Chalmers tekniska högskola, Göteborgs universitet, Kungliga Tekniska högskolan och Försvarshögskolan som användare. Chalmers presschef Henrik Dahlberg säger till DN att det är ”mycket obehagligt” att tänka sig att förtroliga samtal mellan studenter, och mellan studenter och lärare, kan spridas. Globalt tros läckan omfatta ett mycket stort antal användare, vilket gör angreppet mindre likt en riktad attack och mer likt ett angrepp via en leverantör: slår man ut en aktör som många bygger på, drabbas många organisationer samtidigt.

För en leverantör i den situationen är drivkrafterna hårda. En offentlig konflikt kan pågå i veckor medan material sipprar ut, medan en privat uppgörelse kan få problemet att försvinna från de kriminellas sida över en natt – även om kunderna då lämnas utan möjlighet att kontrollera vad som faktiskt stulits eller om något verkligen raderats. Nikka säger till DN att löften från utpressare bara är värda så mycket som gruppens intresse av att upprätthålla ett rykte om att hålla avtal – och angripare har tidigare påstått att de raderat stulna uppgifter men i själva verket behållit dem.

DN uppger att man sökt Instructure för en kommentar utan framgång. För svenska universitet är den praktiska frågan nu inte om annonsen försvunnit, utan om något av materialet senare dyker upp på annat håll, frikopplat från den ursprungliga uppgörelsen.