Odido-hackers maken ook gegevens van miljoenen docenten en studenten buit

Hackersgroep ShinyHunters heeft de gegevens van miljoenen docenten en studenten wereldwijd gestolen bij een grootschalige hackaanval op de onderwijssoftware Canvas. Dat bevestigt het Amerikaanse moederbedrijf Instructure. Canvas wordt gebruikt om informatie over een opleiding, zoals cijfers, in te zien.

Er zouden gegevens van 275 miljoen studenten, docenten en onderwijsmedewerkers wereldwijd zijn gestolen. Zo’n 9000 onderwijsinstellingen zouden zijn getroffen door de hack, aldus ShinyHunters in een bericht op het darkweb.

Bij de digitale inbraak zijn mogelijk ook Nederlandse universiteiten en andere onderwijsinstellingen bestolen. Veel onderwijsinstellingen die Canvas gebruiken weten nog niet of hun instelling ook getroffen is.

Onderwijsinstellingen in Nederland die gebruikmaken van Canvas zijn Fontys Hogescholen, Maastricht University, Hogeschool Utrecht, de Universiteit van Amsterdam, de VU Amsterdam, de Erasmus Universiteit Rotterdam en Tilburg University.

De universiteit van Maastricht heeft studenten en medewerkers per e-mail geïnformeerd op de hoogte te zijn van de aanval. Het is nog onduidelijk of hun gegevens gestolen zijn. In het bericht schrijft de universiteit dat Canvas veilig te gebruiken is.

De hackersgroep ShinyHunters heeft de aanval opgeëist en een dreigbericht geplaatst op hun eigen website op het darkweb. “Instructure Holdings, dit is een laatste waarschuwing”, schrijft de groep. “Laat van je horen voor 6 mei, anders gaan we gegevens lekken en zullen andere vervelende (digitale) problemen jullie kant op komen. Maak de juiste keuze, wees niet de volgende headline.”

Onder de gestolen gegevens zijn namen, studentnummers en e-mailadressen, zegt moederbedrijf Instructure. Ook zouden persoonlijke berichten die door Canvas-gebruikers naar elkaar zijn verstuurd zijn gestolen. Volgens Instructure zijn er geen wachtwoorden, geboortedata, identiteitsbewijzen of bankgegevens buitgemaakt.

Hackersgroep ShinyHunters is onder meer bekend van de grootschalige aanval op telecomprovider Odido eerder dit jaar, waarbij gegevens van miljoenen Nederlandse klanten werden gestolen.

De afgelopen tijd kwamen ook andere bedrijven in het nieuws waarvan klantgegevens werden gestolen, onder andere bij Booking.com, Basic-Fit en Rituals.