Amerikaanse en Nederlandse universiteiten hebben studenten gewaarschuwd voor een datalek bij Instructure, het bedrijf dat onderwijsplatform Canvas levert. Rutgers University spreekt over een 'nationwide security incident'. Ook Nederlandse universiteiten maken gebruik van het platform. Bij de aanval, uitgevoerd door dezelfde groep die eerder Odido wist te hacken, zijn onder andere namen, e-mailadressen, student ID-nummers en door Canvas-gebruikers uitgewisselde berichten gestolen. Op dit moment zijn er volgens Instructure geen aanwijzingen dat er wachtwoorden, financiële gegevens of gegevens van id-bewijzen zijn buitgemaakt. Mocht dat wel zo zijn zegt het bedrijf dit te zullen melden.

Canvas is een web-gebaseerd Learning Management System (LMS) waarmee onderwijsinstellingen lesmateriaal aan studenten kunnen aanbieden. Studenten kunnen via Canvas werk indienen, berichten uitwisselen en samenwerken. Instructure claimt dat wereldwijd zevenduizend onderwijsinstellingen gebruik van Canvas maken en het wereldwijd meer dan tweehonderd miljoen gebruikers heeft.

Onlangs meldde de groep ShinyHunters via de eigen website dat het 3,65 terabyte aan gegevens van Instructure heeft buitgemaakt. Het gaat volgens de criminelen om gegevens van bijna negenduizend onderwijsinstellingen en 275 miljoen personen, waaronder studenten en leraren. Vervolgens liet Instructure weten dat het was getroffen door een security-incident waarbij persoonsgegevens zijn gestolen. Hoe de aanval mogelijk was is niet bekendgemaakt. Wel zegt Instructure credentials en access tokens van getroffen systemen te hebben ingetrokken. Tevens zijn er patches uitgerold om de systeembeveiliging te versterken, bepaalde keys geroteerd en is de monitoring op alle platforms uitgebreid.

Na de melding van Instructure kwamen vervolgens tal van universiteiten met waarschuwingen. "Op 4 mei is een beveiligingsincident gemeld bij de ontwikkelaar van Canvas, Instructure. Op dit moment wordt onderzocht wat er precies is gebeurd en welke systemen zijn geraakt. Het is nog niet bevestigd of gegevens van studenten en medewerkers van Tilburg University zijn getroffen", zo laat de Tilburgse universiteit weten. Ook de Universiteit Maastricht waarschuwde studenten. In de Verenigde Staten zijn onder andere de University of Massachusetts, de University of Virginia, de University of Texas en Rutgers University met waarschuwingen gekomen. De laatstgenoemde spreekt over een landelijk beveiligingsincident. Alle universiteiten melden dat ze nog niet weten of gegevens van hun studenten en medewerkers zijn gestolen.