Hackers hebben een enorme lijst gepubliceerd van onderwijsinstellingen die naar verluidt getroffen zijn door het groeiende datalek in Canvas LMS, met namen als Harvard University, MIT, Oxford University en duizenden scholen in meerdere landen.
Het lek is gekoppeld aan de cybercrimegroep ShinyHunters, die beweert systemen te hebben gehackt die verbonden zijn met Canvas, het veelgebruikte leermanagementplatform ontwikkeld door Instructure. De aanvallers beweren dat het incident bijna 9.000 instellingen en tot 275 miljoen mensen wereldwijd treft.
Volgens documenten die door de groep zijn gepubliceerd, staan ongeveer 8.809 onderwijsorganisaties op de lijst van gelekte slachtoffers. De instellingen bestrijken minstens 10 landen, waarvan de meerderheid zich in de Verenigde Staten bevindt, gevolgd door Australië, het Verenigd Koninkrijk en delen van Europa.
Onder de organisaties die naar verluidt getroffen zijn, bevinden zich wereldwijd erkende universiteiten, waaronder Harvard, Oxford, MIT, Princeton en de University of Pennsylvania. De lijst bevat ook middelbare scholen, beroepsinstellingen en verschillende bedrijven waarvan wordt aangenomen dat ze Canvas gebruiken voor personeelsopleidingen.
ShinyHunters beweert dat de inbreuk grote hoeveelheden gevoelige onderwijsgegevens heeft blootgelegd, waaronder namen, e-mailadressen, studenten-ID-nummers en miljarden privéberichten die via het platform werden uitgewisseld tussen leerlingen, leraren en beheerders.
Instructure heeft een cyberbeveiligingsincident met Canvas bevestigd, maar de omvang van de beweringen van de aanvallers nog niet. Het bedrijf verklaarde dat blootgestelde informatie identificerende gegevens en gebruikerscommunicatie kan omvatten, hoewel er momenteel geen bewijs is dat wachtwoorden, financiële gegevens, geboortedata of door de overheid uitgegeven identificatienummers zijn gecompromitteerd.
Het bedrijf zei ook dat het bevoorrechte inloggegevens heeft ingetrokken, beveiligingssleutels heeft geroteerd, getroffen systemen heeft gepatcht en de monitoring heeft verhoogd, terwijl het samenwerkt met externe forensische specialisten om het incident te onderzoeken.
De inbreuk heeft zorgen gewekt in de onderwijssector omdat Canvas een van ‘s werelds meest gebruikte leermanagementsystemen is. Meer dan 40% van de hogescholen en universiteiten zou naar verluidt vertrouwen op het platform voor cursussen, opdrachten, boodschappen en digitaal klaslokaalbeheer.
Verschillende universiteiten en scholen wereldwijd hebben al erkend meldingen te hebben ontvangen die verband houden met het incident. Onderwijsinstellingen in Australië, Zweden en andere landen bevestigden dat zij potentiële blootstelling aan studenten en personeelsgegevens beoordelen.
Autoriteiten en schoolbestuurders maken zich vooral zorgen over de mogelijke blootstelling van privécommunicatie binnen onderwijsomgevingen. Onderzoekers waarschuwen dat gelekte gesprekken, e-mailadressen en institutionele gegevens kunnen worden misbruikt bij phishingaanvallen, identiteitsdiefstalcampagnes of gerichte social engineering-operaties.
Het incident benadrukt ook de groeiende cyberbeveiligingsrisico’s waarmee onderwijsinstellingen worden geconfronteerd. Universiteiten en scholen zijn steeds aantrekkelijker geworden voor cybercriminele groepen omdat ze grote hoeveelheden persoonlijke gegevens opslaan terwijl ze vaak opereren met gefragmenteerde IT-omgevingen en beperkte beveiligingsmiddelen.
ShinyHunters is de afgelopen jaren uitgegroeid tot een van de meest actieve cybercrimegroepen gericht op afpersing, die herhaaldelijk clouddiensten, SaaS-aanbieders, universiteiten en bedrijfsplatforms aanpakt. De groep is eerder in verband gebracht met datalekken die Salesforce-omgevingen, telecommunicatiebedrijven, financiële instellingen en overheidsinstanties beïnvloeden.
Onderzoekers zeggen dat de groep vaak datadiefstal combineert met publieke afpersingstactieken, waarbij gestolen informatie wordt gedreigd tenzij slachtoffers akkoord gaan met onderhandelingen. In veel gevallen publiceren aanvallers namen van slachtoffers of gedeeltelijke datasets om de druk te vergroten en media-aandacht te trekken.
Het incident met Canvas lijkt in dat patroon te passen. ShinyHunters blijft aanvullende informatie vrijgeven met betrekking tot het datalek, waaronder lijsten van vermeend getroffen instellingen, en waarschuwt organisaties om contact op te nemen met de groep voordat verdere gegevens openbaar worden gemaakt.
Beveiligingsanalisten zeggen dat de werkelijke omvang van de inbreuk onduidelijk blijft omdat onafhankelijke verificatie van de claims van de aanvallers nog gaande is. Als de cijfers van ShinyHunters echter accuraat blijken te zijn, kan het incident een van de grootste datalekken in de onderwijssector ooit worden.