Een groot datalek bij onderwijssoftware Canvas heeft gegevens van tientallen Nederlandse studenten en docenten blootgelegd, nadat hackers moederbedrijf Instructure hebben aangevallen.
De aanval, uitgevoerd door de hackersgroep ShinyHunters, maakt deel uit van een veel groter incident dat naar verluidt meer dan 275 miljoen gebruikers bij 9.000 onderwijsinstellingen wereldwijd heeft getroffen. Uit een lijst die op het dark web is gepubliceerd blijkt dat minstens 44 Nederlandse instellingen zijn geraakt, waaronder universiteiten en hogescholen in steden als Amsterdam, Zwolle, Den Haag en Haarlem.
Volgens Instructure gaat het bij de buitgemaakte gegevens om namen, e-mailadressen, studentnummers en interne berichten tussen gebruikers. Wachtwoorden, financiële gegevens en identiteitsdocumenten zouden niet zijn gelekt.
De hackers hebben een deadline gesteld en roepen getroffen instellingen op om afzonderlijk te onderhandelen om te voorkomen dat de gegevens openbaar worden gemaakt. Het is nog onduidelijk of Nederlandse onderwijsinstellingen op deze eisen ingaan.
Hoewel sommige instellingen, waaronder de Universiteit Maastricht, aangeven dat het platform veilig blijft om te gebruiken, waarschuwen experts dat de gelekte gegevens alsnog kunnen worden misbruikt voor gerichte phishing- of fraudeaanvallen.
Het datalek voegt zich bij een groeiende lijst van grootschalige aanvallen die worden gelinkt aan ShinyHunters, dat eerder al telecomproviders, grote bedrijven en zelfs overheidsinstanties in Europa aanviel. Tot de recente slachtoffers behoren onder meer Odido, Volkswagen, Gainsight en Google.
