Bedrijf achter Canvas sluit akkoord met hackers: gestolen data verwijderd

In dit artikel:

Canvas, het leerplatform van het Amerikaanse bedrijf Instructure dat wereldwijd meer dan 30 miljoen gebruikers telt en in Nederland onder andere door zeven universiteiten, hogescholen en mbo‑instellingen wordt ingezet, is recent doelwit geworden van een grote datadiefstal. De hackersgroep ShinyHunters wist gegevens van in totaal ruim 275 miljoen studenten, docenten en onderwijsmedewerkers te bemachtigen, afkomstig van zo’n 9.000 onderwijsinstellingen wereldwijd.

Instructure meldt dat het bewijs heeft ontvangen dat de gestolen data door de aanvallers vernietigd is en dat er geen verdere afpersingspogingen richting klanten zullen volgen; topman Steve Daly heeft zijn excuses aangeboden. Volgens het bedrijf ging het onder meer om namen, e‑mailadressen, studentnummers en uitgewisselde berichten.

De uitval van Canvas had directe gevolgen voor het onderwijs: meerdere instellingen pasten lessen aan of stelden inleverdeadlines uit omdat het platform niet beschikbaar of onbetrouwbaar was. ShinyHunters — een relatief kleine, maar actieve groep die vaker leveranciers van grootschalige diensten aanvalt (onder meer eerder betrokken bij de hack op telecombedrijf Odido) — zoekt met zulke aanvallen toegang tot veel organisaties in één keer.

Voor gebruikers blijven risico’s bestaan zoals identiteitsfraude en phishing; het is verstandig e‑mail en accounts extra te beveiligen, wachtwoorden te wijzigen en verdachte berichten kritisch te beoordelen. Instellingen en studenten krijgen daarnaast aanbevolen om instructies van hun onderwijsinstelling op te volgen en alert te blijven op verdere communicatie van Instructure.