Siste fra forsiden:
LES VIDERE ETTER ANNONSEN
FÅ NYHETER PÅ MOBILEN
Last ned Khrono-appen!
Datainnbrudd
Opp mot 250.000 studenter kan være rammet av hackerangrep
Utdanningsinstitusjonene har fått frist til midnatt med å betale løsepenger.
Publisert
Instructure, leverandøren av læringsplattformen Canvas, ble 1. mai rammet av et dataangrep. Universiteter, høgskoler og andre over hele verden som bruker Canvas kan ha blitt frastjålet data.
32 norske universiteter, høgskoler og fagskoler og opp mot 250.000 studenter kan være rammet. Det er ikke kjent nøyaktig hvor mange studenter som er aktive brukere av Canvas, så det reelle antallet rammede studenter kan være lavere.
Hackerne har lagt ut en lang liste med institusjoner som de skal ha stjålet data fra. Den er ikke bekreftet av uavhengige kilder.
Khrono har sett listen, men ikke fått bekreftet fra alle institusjonene som står på den at de faktisk er rammet (se faktaboks).
Vil ha løsepenger
Instructure blir bedt om å betale løsepenger innen utgangen av 7. mai, ellers sier hackerne at de vil publisere over 3 terabyte med data.
De spesifiserer ikke hvilken informasjon de har fått tak i, men fra før er det kjent at navn på studenter, e-poster, studentID og private meldinger på Canvas er data som er berørt av innbruddet.
Også universiteter og høgskoler i Sverige, Danmark og Island befinner seg på listen. Toppuniversiteter i USA som Harvard og Columbia skal også angivelig være berørt av datainnbruddet.
Kan betale for å slippe
Enkeltinstitusjoner kan kontakte trusselaktøren direkte dersom de ønsker å betale for å få sin informasjon fjernet fra lekkasjen, heter det i meldingen fra trusselaktøren.
— Instructure har informert UiS om at vi også er rammet av datainnbruddet. Vi har ikke fått endelig bekreftelse på at våre brukeres data er på avveie, men inntil videre regner vi dette som svært sannsynlig, sier direktør for organisasjon og infrastruktur, Karoline H. Høibo, ved Universitetet i Stavanger (UiS) til Khrono.
Også Universitetet i Agder bekrefter at de er rammet, men de vet enda ikke omfanget. Det er ikke aktuelt å betale løsepenger til trusselaktøren.
OsloMet bekrefter også at de er på listen, men kan foreløpig ikke si noe om omfanget.
En utdanningsinstitusjon som ikke er rammet, er Universitetet i Bergen (UiB). De drifter en lokal versjon av Canvas som ikke er del av Sikts sektoravtale.
Anbefaler ikke å betale
Sikt anbefaler, i tråd med råd fra nasjonale sikkerhetsmyndigheter, å aldri betale eller gå i dialog med trusselaktører.
— Å betale gir ingen garanti for at data ikke lekker ut, at man får gjenopprettet data, eller at man ikke får nye krav om betaling. I tillegg markerer man seg som et betalingsvillig mål, noe som kan øke risiko for nye angrep, sier kommunikasjonssjef Åshild Berg-Tesdal.
— Vi oppfordret også virksomheter som opplever slike trusselsituasjoner til å ta kontakt med sitt sektorvise responsmiljø, både for å få råd, men også for å bidra til å kartlegge omfang på tvers av virksomheter. Sikts Cybersikkerhetssenter for forskning og utdanning er kunnskapssektorens responsmiljø, opplyser hun.