Odido-hackers hacken duizenden hogescholen en universiteiten #Canvas

Bij een grootschalige cyberaanval op onderwijsplatform Canvas zijn mogelijk persoonsgegevens van ongeveer 275 miljoen gebruikers gestolen. Onder de getroffen gebruikers bevinden zich waarschijnlijk ook studenten en medewerkers van Nederlandse universiteiten en hogescholen. Canvas, ontwikkeld door het Amerikaanse bedrijf Instructure, wordt wereldwijd gebruikt voor online onderwijs, het delen van studiemateriaal en communicatie tussen studenten en docenten.

Volgens eerste berichten gaat het om gegevens zoals namen, e-mailadressen, studentnummers en berichten die via het platform zijn verstuurd. Wachtwoorden zouden niet zijn buitgemaakt, al wordt gebruikers alsnog geadviseerd alert te blijven op phishingmails en verdachte berichten. De hackersgroep ShinyHunters claimt verantwoordelijk te zijn voor de aanval en dreigt de gegevens openbaar te maken als er geen losgeld wordt betaald.

De groep staat bekend om eerdere grote hacks en datalekken. In Nederland werd ShinyHunters eerder in verband gebracht met de cyberaanval op telecomprovider Odido. Door de omvang van het lek bestaat de kans dat ook gevoelige onderwijsinformatie of interne communicatie in verkeerde handen is gevallen.

Onderwijsinstellingen onderzoeken de gevolgen

Diverse Nederlandse onderwijsinstellingen onderzoeken momenteel of hun systemen en gebruikers direct geraakt zijn door het datalek. Canvas is namelijk een van de meest gebruikte digitale leeromgevingen in het hoger onderwijs. Studenten gebruiken het platform dagelijks voor opdrachten, cijfers, roosters en contact met docenten. Instructure heeft inmiddels bevestigd dat er sprake is van een beveiligingsincident en zegt samen te werken met cybersecurityspecialisten om de schade in kaart te brengen. Het bedrijf heeft beveiligingsmaatregelen aangescherpt en stelt dat het platform inmiddels weer veilig gebruikt kan worden.

Toch blijven er zorgen bestaan over de mogelijke gevolgen van het lek. Cybersecuritydeskundigen waarschuwen dat gestolen persoonsgegevens gebruikt kunnen worden voor identiteitsfraude, phishing of gerichte cyberaanvallen op studenten en onderwijsmedewerkers. Vooral omdat onderwijsinstellingen grote hoeveelheden persoonlijke data verwerken, zijn zij een aantrekkelijk doelwit voor hackers.

Het is nog niet bekend hoeveel Nederlandse gebruikers precies getroffen zijn en of de gestolen gegevens inmiddels zijn verspreid. Onderwijsinstellingen wachten verdere analyses af en informeren betrokken gebruikers zodra meer duidelijkheid beschikbaar is.