In het kort
- Hackergroep ShinyHunters heeft de onderwijssoftware Canvas gehackt, waardoor mogelijk gegevens van 275 miljoen gebruikers zijn blootgesteld.
- Instructure Holdings bevestigde dat het lek namen, student-ID’s, e-mailadressen en berichten betrof, maar verklaarde dat gevoelige informatie zoals wachtwoorden veilig bleef.
- Deze aanval lijkt op eerdere hacks van ShinyHunters, die zich richtten op grote bedrijven zoals Odido, Booking.com en Basic-Fit.
De hackersgroep ShinyHunters heeft een grootschalig datalek bij het onderwijssoftwareplatform Canvas opgeëist. Daarbij zouden gegevens van 275 miljoen studenten, docenten en onderwijspersoneel wereldwijd zijn blootgelegd.
Onzekerheid over getroffen onderwijsinstellingen
ShinyHunters maakte het datalek bekend op het dark web en zei dat ongeveer 9 duizend onderwijsinstellingen getroffen zouden zijn. Het is niet duidelijk welke instellingen precies zijn geraakt, maar veel Nederlandse universiteiten en hogescholen gebruiken Canvas voor cursusinformatie en beoordelingen. Dat zijn onder andere Fontys Hogescholen, de Universiteit Maastricht, Hogeschool Utrecht, de Universiteit van Amsterdam, de VU Amsterdam, de Erasmus Universiteit Rotterdam en de Universiteit van Tilburg.
De Universiteit Maastricht heeft studenten en medewerkers op de hoogte gebracht van het mogelijke datalek, maar gaf aan dat Canvas zelf veilig blijft om te gebruiken. Ze onderzoeken nog of er gegevens van hun eigen instelling zijn gelekt. Dat meldt NOS.
Hackers eisen reactie voor deadline 6 mei
ShinyHunters heeft op hun dark web-website een dreigement geplaatst waarin ze eisen dat Instructure Holdings, het moederbedrijf van Canvas, voor 6 mei reageert. Ze waarschuwden dat ze anders gestolen gegevens zouden lekken en nieuwe digitale aanvallen zouden uitvoeren als hun eisen niet worden nagekomen. Instructure bevestigde dat de gestolen gegevens onder andere namen, student-ID’s en e-mailadressen bevatten. Ook zouden persoonlijke berichten die via het platform zijn uitgewisseld zijn buitgemaakt. Tegelijk zegt het bedrijf dat er geen toegang is verkregen tot vertrouwelijke gegevens zoals wachtwoorden, geboortedata, identiteitsdocumenten en bankgegevens.
ShinyHunters werd eerder dit jaar bekend door een grootschalige aanval op telecomprovider Odido, waarbij gegevens van miljoenen Nederlandse klanten werden gestolen. Dit incident maakt deel uit van een bredere reeks datalekken bij verschillende bedrijven, waaronder Booking.com, Basic-Fit en Rituals.