Gegevens van duizenden Belgische studenten gestolen bij grote Canvas-hack bij 8 scholen
Het is nog steeds niet precies duidelijk hoeveel gegevens van Belgische studenten en docenten gestolen zijn. VRT spreekt over ‘mogelijk duizenden’ studenten en docenten van hogescholen en de Vrije Universiteit Brussel (VUB). Hackersgroep ShinyHunters, die zegt achter de Canvas-aanval te zitten, claimt gegevens te hebben van 275 miljoen gebruikers wereldwijd.
Deze acht scholen zijn getroffen
In België gaat het in totaal om acht onderwijsinstellingen die zijn getroffen (via HLN). Naast de VUB gaat het om de Thomas More Hogeschool, Arteveldehogeschool, Karel de Grote Hogeschool, CVO Gent en de Erasmushogeschool. Bij de VUB zeggen ze echter dat er geen privégegevens zijn buitgemaakt bij de Canvas-aanval, maar enkel schooldocumenten.
Volgens de Arteveldehogeschool in Gent zijn er echter wel degelijk privégegevens gestolen. De hogeschool spreekt over namen, e-mailadressen (ook privéadressen), volgnummers van studenten en docenten én chatberichten tussen Canvas-gebruikers. Er loopt nog een onderzoek naar het aantal getroffenen. Voorlopig zijn er geen aanwijzingen dat er ook wachtwoorden zijn buitgemaakt.
Studenten moeten waakzaam zijn
De Arteveldehogeschool heeft haar studenten inmiddels per e-mail geïnformeerd over het Canvas-incident. Ze worden gewaarschuwd voor gerichte aanvallen door cybercriminelen: “De gestolen gegevens zoals namen en e-mailadressen kunnen misbruikt worden voor gerichte aanvallen”, luidt de boodschap. Ook zegt de hogeschool dat verschillende teams de situatie nauw opvolgen en dat de veiligheid en privacy van de studenten daarbij vooropstaan.
Bij de Vrije Universiteit Brussel is de boodschap iets positiever. Zoals gezegd heeft de VUB enkel signalen dat er schoolgegevens zijn gestolen. Studenten mogen er ook weer vrij aan de slag met Canvas.
Canvas-ontwikkelaar onderzoekt de aanval
Wereldwijd gaat het om een aanval op ongekende schaal. In totaal gaat het om gegevens van 9.000 onderwijsinstellingen die ShinyHunters via Canvas kon bemachtigen. Leverancier Instructure signaleerde de aanval afgelopen weekend en trapte meteen op de rem. Daarbij werden toegangssleutels voor de onderwijsdienst ververst en de hackers buitengesloten.
Toch hadden de hackers al voldoende tijd gehad om gegevens buit te maken. Instructure zegt zelf dat het gaat om namen, e-mailadressen, studentennummers en berichtenverkeer. Er is geen aanwijzing dat de hackers toegang hadden tot wachtwoorden, geboortedata, identiteitsbewijzen of financiële gegevens.
De kans is groot dat de gestolen informatie op het darkweb te koop wordt aangeboden. Dat zou betekenen dat kwaadwillenden de gegevens kunnen kopen om gerichte aanvallen mee uit te voeren. Via onder andere Have I Been Pwned kun je in de gaten houden of je gegevens in zo’n lek opduiken.
