Het hackcollectief ShinyHunters zegt dat het de afgelopen weken niet één maar twee keer een groot onderwijsplatform heeft ontwricht. En het datalek had voor studenten en docenten op geen slechter moment kunnen komen. Deze gebeurtenissen vonden plaats tijdens de schoolfinales van veel van de getroffen instellingen.
Op 30 april ging Instructure, het edtech-bedrijf achter Canvas, het populaire Learning Management System (LMS) dat door onderwijsinstellingen over de hele wereld wordt gebruikt, tijdelijk offline. Een dag later, Instructure bevestigd dat een ‘criminele bedreigingsacteur’ achter een datalek in de systemen van het bedrijf zat.
Volgens ShinyHunters heeft de groep gegevens gestolen van 275 miljoen Canvas-gebruikers op bijna 9.000 scholen wereldwijd. Tot de getroffen gebruikers behoren studenten, docenten en personeel, en hoewel er geen wachtwoorden of andere gevoelige gegevens zijn gestolen, waren de gestolen gegevens aanzienlijk. De hackers beweerden dat gebruikersnamen, e-mailadressen, student-ID’s en privéberichten die op het platform werden uitgewisseld, deel uitmaakten van de gestolen gegevens. Sommige van de getroffen gebruikers zijn minderjarige studenten.
Mashable 101 Fanfavoriet: Stem op je favoriete maker Vandaag!
Kort na de hack bevestigde Instructure dat het de toegang van de kwaadwillende actoren had ingetrokken, nam maatregelen om de problemen op te lossen en een nieuwe inbreuk te voorkomen, en bracht Canvas weer online.
Maar slechts een week later zegt ShinyHunters het druk opnieuw op Canvas. Deze keer hebben de hackers schoolspecifieke inlogpagina’s voor het platform gecompromitteerd en de pagina’s onleesbaar gemaakt met berichten waarin werd gedreigd de gestolen gegevens van de vorige inbreuk publiekelijk vrij te geven, tenzij Instructure ermee instemde “over een schikking te onderhandelen”.
Een geldvraag van ShinyHunters was niet verrassend. De ransomwaregroep staat bekend om het afpersen van slachtoffers na een datalek. Een tweede inbreuk bij Instructure kwam echter als een verrassing. Canvas ging opnieuw offline en toen het terugkwam, had het bedrijf de bron van het tweede incident verwijderd: Free-For-Teacher-accounts.
Volgens een onlangs bijgewerkte incidentpagina op de website van Instructure zegt het bedrijf dat het “een kwetsbaarheid heeft geïdentificeerd met betrekking tot ondersteuningstickets in onze Free for Teacher-omgeving die werd uitgebuit.”
Mashbare lichtsnelheid
“We hebben Free for Teacher tijdelijk uitgeschakeld terwijl we een volledige beveiligingsbeoordeling voltooien”, aldus het bedrijf. “We weten dat dit ontwrichtend is, en we hebben die oproep niet lichtvaardig gedaan. Maar het veilig houden van het hele Canvas-platform moet voorop staan.”
Hoewel de tweede inbreuk niet tot gestolen gegevens heeft geleid, had de timing van het beveiligingsincident voor de leerlingen niet slechter kunnen zijn, aangezien veel scholen momenteel examens en andere geplande deadlines houden voor de eindejaarscursussen.
Als PCMag meldt: “studenten en professoren hadden moeite om toegang te krijgen tot het online platform dat werd gebruikt om opdrachten en toetsen in te dienen.” (Openbaarmaking: PCMag en Mashable zijn beide eigendom van hetzelfde moederbedrijf, Ziff Davis.)
Volgens gegevens van Alliance Risk Trends aan Mashable zijn de zoekopdrachten op Google naar ‘canvas gehackt’ en ‘canvas down’ afgelopen vrijdag met ongeveer 1.000 procent gestegen. Er was een gecombineerd zoekvolume van meer dan 1 miljoen voor zoekopdrachten waarbij de Canvas-beveiligingsincidenten en daaropvolgende downtime betrokken waren.
Sommige lezers namen contact op met Mashable om hun ervaringen te delen. Een ouder van een student aan de Seton Hall University stuurde Mashable een e-mail door die de school stuurde terwijl Canvas niet beschikbaar was.
“We weten dat de timing hiervan moeilijk is”, aldus de e-mail van de school aan de leerlingen. “De finales zijn aan de gang, er moeten cursussen worden gegeven en het feit dat Canvas nu offline is, is echt ontwrichtend.”
Sommige scholen, zoals de Bayton Universiteit in Texas, uitgesteld eindexamens op vrijdag, specifiek vanwege problemen met de toegang tot Canvas.
“Nu Canvas op nationaal niveau niet meer werkt, zal Baylor University de eindexamens morgen (vrijdag 8 mei 2026) uitstellen”, aldus de school in een verklaring.
Canvas is nu weer online. De deadline voor de “schikking” van ShinyHunters om de gegevens op 12 mei vrij te geven, ligt echter nog steeds op de loer.
Wilt u meer weten over hoe u het beste uit uw technologie kunt halen? Meld je aan voor Mashable’s Nieuwsbrieven met topverhalen en aanbiedingen Vandaag.
Onderwerpen
Apps en software
Cyberbeveiliging
