Canvas-storing na hack zet scholen stil
Kort nieuws
Canvas, het leerplatform dat veel scholen, hogescholen en universiteiten gebruiken, is op donderdag offline gehaald na een afpersingsaanval. Door die storing liepen lessen en opdrachten op veel plekken vast. Leerlingen, studenten en docenten kwamen ineens niet meer in hun gewone omgeving terecht.
Aanvaller ShinyHunters had volgens de bron de inlogpagina van Canvas vervangen door een afpersingsbericht. Daarin stond een eis om losgeld te betalen, anders zou data van leerlingen en personeel worden gelekt. Het ging volgens de dreiging om gegevens van 275 miljoen studenten en medewerkers, verspreid over bijna 9.000 onderwijsinstellingen.Dat is dus geen klein beestje.
Eerst even simpel
Canvas is de plek waar veel mensen inloggen voor lessen, opdrachten, berichten en cijfers. Als zo’n systeem plat gaat, kun je niet zomaar even doorschakelen naar iets anders. dan stopt schoolwerk gewoon mee of loopt het flink achter.
Instructure, het bedrijf achter Canvas, had eerder deze week al gezegd dat er een datalek was geweest. het bedrijf meldde toen dat het ging om bepaalde gegevens zoals namen, e-mailadressen, studentnummers en berichten tussen gebruikers. Volgens Instructure waren er geen aanwijzingen dat wachtwoorden, geboortedata, burgerservicenummers of financiële gegevens waren buitgemaakt.
Daarna leek Canvas nog gewoon te werken, maar donderdag dook het afpersingsbericht alsnog op. Instructure haalde Canvas toen uit de lucht en zei dat er “gescheduled maintenance” was. Later maakte het bedrijf duidelijk dat het probleem te maken had met Free-for-Teacher-accounts.
Wat weten we al?
de bron laat een paar dingen zien die voor gebruikers echt tellen:
- Canvas was tijdelijk onbereikbaar of instabiel.
- De aanval draaide om data afpersen, niet om een gewone storing.
- Instructure heeft eerder deze week al een lek erkend.
- Het bedrijf zegt dat de aanval via een probleem met Free-for-Teacher-accounts is gegaan.
- Op 11 mei meldde Instructure dat het losgeld had betaald in ruil voor een belofte dat de data zou worden vernietigd.
Ook belangrijk: Instructure zei op 6 mei nog dat het incident onder controle leek. Toch kwam er daarna opnieuw een aanval of herhaald misbruik. Dat maakt dit nieuws extra lastig voor scholen die dachten dat alles al veilig was.
De bron noemt ook dat ShinyHunters eerder al druk uitoefende op universiteiten, onder meer rond de University of Pennsylvania. Er wordt beschreven dat deze groep vaker via social engineering binnenkomt. Dat is een moeilijk woord voor slim nepgedrag, zoals iemand voordoen als helpdesk of IT-medewerker.
Wat merk jij hiervan?
Voor de meeste mensen is het eerste effect simpel: je kunt niet inloggen of je ziet een onderhoudspagina.Je opdrachten, cursusmateriaal, berichten of cijfers kunnen dan even buiten bereik zijn.
Voor leerlingen en studenten midden in toetsweken is dat extra vervelend. Je kunt je werk niet inleveren, lesmateriaal niet openen en soms ook niet zien wat de planning is. Voor docenten en schoolmedewerkers is het net zo lastig,want planning,communicatie en nakijken lopen door elkaar.
Ook als jouw school niet direct genoemd is, kan Canvas toch invloed hebben op jouw werkdag. Denk aan:
- problemen met huiswerk inleveren;
- niet bij lesnotities of links kunnen;
- vertraging bij tentamens of deadlines;
- meldingen die niet aankomen;
- onduidelijkheid over opdrachten die nog online stonden.
Wie loopt risico?
Niet alleen de scholen zelf, maar ook iedereen die via Canvas werkt:
- leerlingen en studenten;
- docenten;
- onderwijsmedewerkers;
- ouders die updates volgen via schoolkanalen;
- kleine onderwijsorganisaties die het platform gebruiken.
De bron noemt ook duizenden scholen, universiteiten en bedrijven als gebruikers van Canvas. Dus dit raakt niet alleen hoger onderwijs.
Wat moet je nu nalopen?
Als jij Canvas gebruikt, is het slim om vooral deze dingen even te checken:
| Wat | Waarom | Wat jij kunt doen |
|---|---|---|
| Inloggen lukt niet | De dienst kan tijdelijk offline zijn | Wacht op een officiële melding van je school of Instructure |
| Opdrachten of cijfers ontbreken | Systemen kunnen deels vastlopen | Sla lokaal op wat je nodig hebt |
| E-mail van school | Er kan een aparte waarschuwing komen | Check je schoolmail en spam |
| Wachtwoord | Er is geen bewijs dat wachtwoorden zijn gelekt, maar alert zijn blijft slim | Gebruik een sterk wachtwoord en zet tweestapsverificatie aan als dat kan |
| Onbekende berichten | In data zaten volgens Instructure ook berichten tussen gebruikers | Open geen rare links en controleer afzenders extra goed |
Voor organisaties is het vooral belangrijk om officiële updates te volgen. Instructure zegt op zijn statuspagina dat er updates komen zodra die er zijn. De statuspagina staat hier: https://status.instructure.com/
Als je een verantwoordelijke bent bij een school of kleine onderwijsclub, kijk dan ook naar de eigen communicatie van Instructure. Het bedrijf zegt dat het getroffen organisaties direct benadert en dat je niet moet vertrouwen op losse lijsten op sociale media.
Kleine samenvatting
Dit is geen gewone storing die vanzelf weer wegwaait. Het gaat om een lopende afpersingsactie met echte impact op scholen, leerlingen en docenten. Eerst was er een lek, daarna een zichtbare aanval op de loginpagina, en later meldde Instructure zelfs dat het had betaald.
Voor gewone gebruikers draait het nu vooral om drie dingen: kun je inloggen,hoe gaat je school ermee om,en staat er iets gevoeligs in je Canvas-berichten of bestanden.Als je alleen een lesrooster nodig hebt, merk je misschien vooral irritatie. Als je midden in toetsen zit, kan het veel meer druk geven.
Meer lezen
De bron achter dit nieuws kun je ook zelf nalezen via Canvas Breach Disrupts Schools & Colleges Nationwide.
Bevers gedachte
Zo’n klus laat zien hoe kwetsbaar één onderwijsplatform kan zijn. Als de centrale toegang wegvalt, valt meteen een hele stapel schoolwerk mee om. Dat is niet stoer, maar wel heel echt.
voor jezelf is de les simpel: houd schoolberichten in de gaten, sla belangrijk werk ook ergens anders op, en wees extra voorzichtig met onverwachte mails of berichten. Een bever bouwt zijn dam ook niet op één takje.