Universiteiten waarschuwen studenten voor datalek bij Canvas-leverancier

In dit artikel:

Amerikaanse en Nederlandse universiteiten hebben hun studenten gewaarschuwd na een grootschalige datalek bij Instructure, het bedrijf achter het onderwijsplatform Canvas. Instructure meldde op 4 mei een security-incident; de hackers — naar verluidt de groep ShinyHunters, die eerder Odido aanviel — zouden ongeveer 3,65 terabyte aan informatie hebben buitgemaakt. Volgens de criminelen zouden gegevens van circa 9.000 onderwijsinstellingen en 275 miljoen personen getroffen zijn.

Gestolen informatie omvat namen, e‑mailadressen, student-ID‑nummers en berichten die gebruikers via Canvas uitwisselden. Instructure geeft aan dat er vooralsnog geen aanwijzingen zijn dat wachtwoorden, betaalgegevens of kopieën van identiteitsbewijzen zijn gelekt; als dat verandert zal het bedrijf dit melden. Om de schade te beperken zijn credentials en access tokens ingetrokken, zijn patches uitgerold, zijn bepaalde sleutels geroteerd en is monitoring uitgebreid.

Meerdere universiteiten — onder meer Tilburg University, Universiteit Maastricht, University of Massachusetts, University of Virginia, University of Texas en Rutgers (die spreekt van een 'nationwide security incident') — hebben studenten geïnformeerd. De instellingen onderzoeken of hun eigen systemen en gegevens zijn geraakt; tot nu toe is dat voor veel universiteiten nog onduidelijk.

Voor studenten en medewerkers: wees alert op phishing- of identiteitsfraudepogingen, controleer verdachte e‑mails en volg de instructies van je onderwijsinstelling. Canvas wordt wereldwijd door duizenden instellingen gebruikt, waardoor de potentiële impact van dit incident groot is en verder onderzoek en communicatie vanuit zowel Instructure als de betrokken universiteiten verwacht mogen worden.