Meerdere Nederlandse onderwijsinstellingen hebben de studie-app Canvas geblokkeerd voor hun studenten en medewerkers. De app werd gisteravond opnieuw gekraakt door hackersgroep ShinyHunters. Door systemen van Canvas los te koppelen hopen onderwijsinstellingen dat de toegang tot gegevens van studenten en medewerkers beperkt blijft.
De hackersgroep meldde maandag dat het de gegevens van miljoenen studenten, docenten en onderwijsmedewerkers in handen hadden gekregen via Canvas. Studenten gebruiken Canvas om onder meer opdrachten in te leveren en lesmateriaal of cijfers in te zien.
Gisteravond kraakte de hackgroep de studie-app dus opnieuw, ondanks extra beveiligingsmaatregelen van moederbedrijf Instructure. De hackers plaatsten een bericht in Canvas, waarop een nieuw ultimatum van 12 mei werd gegeven om contact op te nemen en te onderhandelen, anders dreigt de organisatie de buitgemaakte gegevens openbaar te maken.
Tweede hack
Jochem Vreeman, woordvoerder van de Universiteit Twente zegt dat de universiteit vanmorgen alle studenten en medewerkers heeft geïnformeerd dat Canvas voorlopig niet beschikbaar is. Het onderwijs op de universiteit gaat wel door, maar via alternatieve wegen. Ook wordt er een onderzoek naar het lek ingesteld.
Ook de Erasmus Universiteit in Rotterdam, de Fontys Hogeschool, en de Vrije Universiteit Amsterdam haalden Canvas uit voorzorg offline. "We zijn de mogelijke gevolgen aan het inventariseren, en kijken of er eventuele maatregelen genomen moeten worden", zegt Wim Pleunis, woordvoerder van Fontys Hogeschool.
Mbo-instelling Deltion heeft het Canvas-systeem sinds 09.00 uur vanmorgen wel weer online gezet. Volgens een woordvoerder is het systeem weer veilig te gebruiken, "maar die afweging is voor iedere school anders".
De woordvoerder van Universiteit Twente zegt dat ze na de vorige hack een crisisorganisatie hebben opgetuigd. "Maar we hadden niet verwacht dat het Canvas-systeem meteen weer gehackt zou worden."
Wereldwijd getroffen
Niet alleen Nederlandse onderwijsinstellingen zijn de dupe van de hack. Volgens moederbedrijf Instructure heeft Canvas wereldwijd meer dan 30 miljoen gebruikers. Amerikaanse universiteiten zijn gehackt, zoals de prestigieuze Harvard- en Columbia-universiteit, evenals middelbare scholen.
De hack komt voor vele Amerikaanse studenten midden in een tentamenweek, waardoor sommige universiteiten de tentamens hebben uitgesteld.
Hoe nu verder?
Wat de gevolgen zijn voor Nederlandse onderwijsinstellingen is nog niet duidelijk. Veel Nederlandse universiteiten en hogescholen zitten in crisisoverleg en doen nog onderzoek.
De universiteiten waarschuwen studenten en medewerkers voor mogelijke phishingmails naar aanleiding van het datalek. Dit zijn mails die van een officiële instantie lijken te zijn, maar zijn nagemaakt zijn door criminelen. Daarmee proberen ze de ontvanger te overtuigen om online gegevens in te voeren, waarmee diegene vervolgens opgelicht kan worden.
Hoe herken ik een phishingmail?
Bron: Digital Trust Center van ministerie van Economische Zaken en Klimaat