Vijf vragen over de Canvas-hack

1. Wat is er gebeurd?

De digitale leeromgeving Canvas is getroffen door een grootschalige cyberaanval. Cybercriminelen van de internationale hackersgroep ShinyHunters, die eerder verantwoordelijk waren voor de hack op telecomprovider Odido, hebben toegang gekregen tot systemen van Instructure, het bedrijf achter Canvas. Daarbij zijn verschillende gegevens van gebruikers buitgemaakt.

Instructure meldde het datalek oorspronkelijk op 1 mei. Op 6 mei liet het bedrijf weten dat er ook gegevens van UvA‑studenten, -docenten en -medewerkers bij het datalek zijn betrokken. Een dag later zei Instructure dat de hackers geen toegang meer zouden hebben tot het systeem. De hackers hadden op dat moment nog wel toegang tot de systemen van het platform.

2. Welke gegevens zijn gelekt?

Op basis van de informatie die Instructure aan de koepelorganisatie Universiteiten van Nederland (UNL) verschafte, zijn er bij de hack basisgegevens van studenten en medewerkers gelekt. Dan gaat het om namen, e-mailadressen en mogelijk Canvas-ID’s of student- en medewerkersnummers. Volgens het bedrijf zijn er geen wachtwoorden, geboortedata, identiteitsbewijzen, bankgegevens of andere bijzondere persoonsgegevens gelekt. Er kan echter niet worden uitgesloten dat er berichtenverkeer binnen Canvas is betrokken bij het lek.

3. Wie zijn getroffen?

De aanval raakt bijna 9.000 universiteiten, hogescholen en andere onderwijsinstellingen wereldwijd die gebruikmaken van Canvas. In Nederland zijn – naast de UvA – nog zes andere universiteiten getroffen door de hack.

In totaal claimen de hackers zo’n 3,65 terabytes (3.650 gigabytes) aan data te hebben gestolen. Dat zou neerkomen op 275 miljoen gestolen gegevensitems.

4. Waarom is Canvas nu afgesloten?

Op 7 mei, toen Instructure in de veronderstelling was dat de hackers geen toegang meer zouden hebben tot het systeem, plaatste hackersgroep ShinyHunters een bericht ze dat nog steeds toegang hadden tot de Canvas-systemen. Uit voorzorg besloten alle Nederlandse universiteiten die Canvas gebruiken daarop om het platform te ontkoppelen. Gebruikers werd verzocht om Canvas af te sluiten en tot nader bericht niet te gebruiken.

Het uitschakelen van Canvas heeft gevolgen voor het onderwijs. Normaal gesproken wordt Canvas gebruikt voor het verspreiden van vakinformatie, verplichte leesstof, updates over colleges en het inleveren van opdrachten. Dat het platform tijdelijk niet te bereiken is, betekent onder meer dat het minder eenvoudig is om plagiaatcontrolesoftware TurnItIn te gebruiken. Ook zijn al ingeleverde opdrachten voorlopig niet toegankelijk voor docenten.

5. Wat moeten studenten en medewerkers nu doen?

Het belangrijkste is: het onderwijs gaat in principe volgens planning door, ook als Canvas nog niet beschikbaar is. De UvA erkent dat studenten en medewerkers beperkingen zullen ervaren, maar stelt dat het gesloten houden van Canvas nodig is omdat Instructure ‘de veiligheid van het systeem nog niet voldoende kan garanderen’. Voor docenten heeft de universiteit inmiddels een speciale webpagina ingericht met een actieplan voor ‘lesgeven zonder Canvas’.

Docenten worden op die webpagina geadviseerd om de communicatie primair via Outlook te laten verlopen. Voor het verspreiden van lesmateriaal en het inleveren van opdrachten adviseert de UvA docenten om SURFdrive te gebruiken. Ook voor deze opdrachten is het mogelijk om een plagiaatcontrole uit te voeren via TurnItIn: dit moet echter wel handmatig per opdracht gebeuren. Vanwege de problemen vraagt de universiteit docenten om coulanter om te gaan met deadlines.

De UvA verwacht maandagmiddag een nieuwe update te geven over de situatie rond Canvas. BNR meldt dat de Nederlandse universiteiten Canvas nog zeker week offline houden.

Update: Dit bericht is aangepast op 11 mei om 16.45 uur.