Namen, emailadressen, studentnummers en de correspondentie tussen studenten en docenten zouden zijn buitgemaakt bij een hack op het Amerikaanse Instructure, de maker van Canvas. Dat maakte het bedrijf afgelopen vrijdag bekend.

Hackersgroep ShinyHunters, eerder betrokken bij de grote Odido-inbraak, heeft de hack opgeëist en beweert de gegevens van 275 miljoen studenten, docenten en andere gebruikers in handen te hebben. Daar zitten ook Nederlandse studenten tussen, claimt de groep. 

Zeker negen Nederlandse instellingen

De TU/e behoort tot de Nederlandse onderwijsinstellingen die Canvas gebruiken, net als onder meer de twee Amsterdamse universiteiten, de Erasmus Universiteit, Tilburg University, de Universiteit Maastricht en de Universiteit Twente. Ook de Hogeschool Utrecht en Fontys maken gebruik van het platform, dat docenten onder meer inzetten om lesstof en opdrachten te delen met studenten.

Studenten kunnen op Canvas hun roosters of cijfers bekijken. Ook kunnen ze binnen de Canvasomgeving berichten sturen naar klasgenoten of docenten. Al die gegevens (maar niet de wachtwoorden) zouden in handen zijn van de hackers.

Hoe ShinyHunters de data van zoveel instellingen kon bemachtigen is nog niet bekend. Instructure moet uiterlijk vandaag (woensdag) losgeld betalen, anders dreigen de hackers de studentgegevens openbaar te maken. Dat deed de hackgroep begin dit jaar ook met de gegevens van Odido-klanten toen het telecombedrijf niet de gewenste één miljoen euro betaalde.

Wereldwijd in gebruik

Het Amerikaanse Instructure bestaat sinds 2008. Het learning management system Canvas is de belangrijkste activiteit van het bedrijf. Wereldwijd maken zo’n negenduizend onderwijsinstellingen er gebruik van. In 2024 werd Instructure voor 4,8 miljard dollar opgekocht door investeringsfonds KKR. 

Kenmerkend aan Canvas is dat de software niet op de servers van universiteiten en hogescholen zelf draait, maar op servers van Amazon’s AWS. Instellingen krijgen een eigen login, maar verder beheert Instructure de software en de data. 

In principe zijn de gegevens van de ene onderwijsinstelling streng gescheiden van andere instellingen, blijkt uit een privacy-APK die IT-coöperatie SURF vorig jaar uitvoerde. Maar dat heeft kennelijk niet kunnen voorkomen dat de hackers de gegevens van miljoenen gebruikers konden stelen. 

Onderhandelen

Volgens BNR zou ShinyHunters nu ook onderwijsinstellingen oproepen om individueel met de hackers te onderhandelen over losgeld, zodat hun gegevens binnenskamers blijven. Dat zou erop kunnen wijzen dat Instructure geen losgeld wil betalen. BNR verwijst overigens naar 44 getroffen Nederlandse onderwijsinstellingen, maar dat aantal lijkt niet te kloppen. Enkele van de genoemde instellingen gebruiken geen Canvas.

De TU/e onderzoekt momenteel de mogelijke impact van het datalek. Zodra er meer duidelijkheid is, wordt dit in een apart artikel verder bijgewerkt.