Een commissie van het Amerikaanse Huis van Afgevaardigden heeft Instructure, leverancier van het onderwijsplatform Canvas, om opheldering gevraagd over het grote datalek waarbij de gegevens van naar verluidt 275 miljoen mensen werden gestolen. De data was buitgemaakt door de criminele groepering ShinyHunters, die dreigde de gestolen gegevens te publiceren tenzij er losgeld werd betaald. Instructure maakte onlangs bekend dat het een deal met de criminelen heeft gesloten en de buitgemaakte data is vernietigd. Of er losgeld is betaald liet Instructure niet weten.

Het Canvas-platform van Instructure maakt het mogelijk voor onderwijsinstellingen om lesmateriaal aan studenten te kunnen aanbieden. Studenten kunnen via Canvas werk indienen, berichten uitwisselen en samenwerken. Canvas-leverancier Instructure claimt dat wereldwijd zevenduizend onderwijsinstellingen gebruik van Canvas maken en het wereldwijd meer dan tweehonderd miljoen gebruikers heeft. Vanwege de aanval besloten allerlei universiteiten en scholen hun Canvas-omgeving offline te halen, wat onder andere gevolgen had voor studenten die nu examen doen.

Het House Committee on Homeland Security van het Amerikaanse Huis van Afgevaardigden wil dat Instructure tijdens een briefing tekst en uitleg over het incident komt geven. Volgens de commissie hanteert ShinyHunters altijd dezelfde werkwijze. Er wordt eerst misbruik gemaakt van een kwetsbaarheid, gevolgd door diefstal van gevoelige data. De groep eist vervolgens losgeld, anders dreigt het de gestolen data openbaar te maken.

De commissie wil onder andere van Instructure weten hoe het datalek kon plaatsvinden, van hoeveel mensen de gegevens zijn gestolen, hoe het bedrijf op de aanval reageerde en wat er wordt gedaan om huidige en toekomstige risico's te verhelpen. Daarnaast willen de commissieleden weten hoe het kan dat de aanvallers na de eerste aanval erin slaagden om binnen de Canvas-omgeving een boodschap te plaatsen. Instructure is opgeroepen om uiterlijk 21 mei opheldering aan de commissie te komen geven.