Gigantisch datalek bij Canvas: miljoenen studenten gehackt
Een van de grootste digitale inbraken in de geschiedenis van het onderwijs schokt de academische wereld. De beruchte hackersgroep ShinyHunters claimt de hand te hebben gelegd op 3,65 terabyte aan gevoelige data van Canvas, het meest gebruikte leerplatform ter wereld. Met miljoenen getroffen studenten en duizenden scholen op de lijst, waaronder de Universiteit van Amsterdam en de Vrije Universiteit, zijn de gevolgen niet te overzien.
Het begon als een gerucht op ondergrondse hackersfora, maar de omvang van de ramp wordt per uur duidelijker. De hackersgroep ShinyHunters – eerder verantwoordelijk voor aanvallen op techreuzen als Microsoft en Ticketmaster – claimt toegang te hebben verkregen tot de servers van Instructure, het moederbedrijf achter Canvas. De buit? Een onvoorstelbare hoeveelheid data van ruim 275 miljoen gebruikers. Dit meldt amuneth.com.
Miljarden privéberichten gehackt
Hoewel de diefstal van namen, e-mailadressen en studentnummers al ernstig is, ligt de werkelijke angel van dit lek in de persoonlijke communicatie. De aanvallers beweren miljarden privéberichten tussen studenten en docenten te hebben gedownload.
In deze berichten wordt vaak vertrouwelijke informatie gedeeld: van persoonlijke omstandigheden en cijferoverzichten tot feedback op opdrachten. Experts waarschuwen dat deze data een goudmijn is voor identiteitsfraudeurs en afpersers. Bovendien zou de aanval verder reiken dan alleen het leerplatform; ook gekoppelde Salesforce-omgevingen zouden zijn geraakt, wat betekent dat ook administratieve bedrijfsgegevens in handen van criminelen zijn gevallen.
Nederlandse universiteiten op de lijst
Hoewel de aanval wereldwijd is, voelen ook de Benelux en de rest van Europa de impact. Van de ruim 9.000 getroffen organisaties zijn er inmiddels ruim 2.500 namen openbaar gemaakt door de hackers. Op de lijst prijken prominente Nederlandse en Belgische namen:
- Nederland: Universiteit van Amsterdam (UvA), Vrije Universiteit Amsterdam (VU), Tilburg University, Hogeschool Utrecht (HU), Fontys Hogescholen, Universiteit Twente en de Technische Universiteit Eindhoven.
- België: Vrije Universiteit Brussel (VUB), Thomas More, Arteveldehogeschool en de Karel de Grote Hogeschool.
"Betaal of wij lekken alles"
ShinyHunters hanteert hun gebruikelijke, nietsontziende tactiek: ransomware via data-exfiltratie. De groep eist een onbekend bedrag aan losgeld. Indien Instructure niet over de brug komt, dreigen de hackers de volledige 3,65 TB aan data online te publiceren. Dit zou betekenen dat de privégegevens van honderden miljoenen mensen voor het grijpen liggen op het dark web.
Instructure heeft in een korte verklaring bevestigd dat er een "beveiligingsincident" heeft plaatsgevonden. Het bedrijf is een grootschalig forensisch onderzoek gestart en werkt samen met cybersecurity-experts en opsporingsdiensten om de lekken te dichten.
Kwetsbaarheid van het onderwijs
De hack legt de pijnlijke kwetsbaarheid bloot van de gecentraliseerde digitale leeromgeving. Omdat scholen wereldwijd massaal vertrouwen op één platform voor hun volledige onderwijsproces, ontstaat er een zogenaamde single point of failure. "Het onderwijs is een 'soft target' geworden," aldus een cybersecurity-expert. "De systemen bevatten een enorme hoeveelheid persoonlijke data, maar de beveiligingsbudgetten lopen vaak achter op die van de commerciële sector."
Voor miljoenen studenten en docenten breekt een onzekere tijd aan. Het advies van experts is vooralsnog eenduidig: verander direct je wachtwoorden (ook van gekoppelde accounts) en wees de komende tijd extra alert op phishing-berichten die refereren aan de Canvas-omgeving.
Meer over cybercrime
Over Witold Kepinski
