Hack op onderwijsplatform Canvas: gegevens van 275 miljoen gebruikers buitgemaakt door ShinyHunters

In dit artikel:

Een omvangrijke cyberaanval op het leermanagementsysteem Canvas heeft volgens de aanvallers geleid tot de diefstal van gegevens van naar schatting 275 miljoen mensen bij ongeveer 9.000 onderwijsinstellingen wereldwijd. Hackersgroep ShinyHunters heeft de aanspraak op de aanval opgeëist en zegt dat onder meer namen, studentnummers, e-mailadressen en in sommige gevallen privéberichten zijn buitgemaakt; Instructure, het Amerikaanse bedrijf achter Canvas, bevestigt dat er data is gestolen maar zegt dat gevoelige informatie zoals wachtwoorden, identiteitsdocumenten en bankgegevens niet is gelekt.

Ook Nederlandse onderwijsinstellingen gebruiken Canvas, onder meer Fontys, Universiteit Maastricht, Hogeschool Utrecht, Universiteit van Amsterdam, Vrije Universiteit Amsterdam, Erasmus Universiteit Rotterdam en Tilburg University. Voor veel instellingen is nog onduidelijk of zij concreet zijn getroffen en zo ja in welke omvang. ShinyHunters heeft een reactie geëist en een deadline gesteld tot 6 mei; de groep is eerder in verband gebracht met een datalek bij telecombedrijf Odido.

Instructure heeft direct technische tegenmaatregelen genomen: toegangssleutels zijn vernieuwd en gebruikers worden vaker uitgelogd om opnieuw in te loggen. Voor gebruikers betekent dit een verhoogd risico op phishing en identiteitsmisbruik; het is verstandig alert te blijven op verdachte berichten, wachtwoorden die elders hergebruikt zijn te wijzigen en waar mogelijk tweeledige verificatie in te schakelen.