Grootste datalek in de geschiedenis van studentenprivacy: Canvas-hack legt risico’s van centrale EdTech bloot

Donderdagmiddag raakten miljoenen studenten op duizenden scholen en universiteiten wereldwijd verstoken van toegang tot Canvas, een veelgebruikt onderwijsplatform dat in veel klassen als onmisbaar wordt gezien. De ransomwaregroep ShinyHunters claimt de moedermaatschappij van Canvas te hebben gehackt en daarbij ‘miljarden’ berichten te hebben gestolen, naast de gegevens van meer dan 275 miljoen gebruikers.

De groep blokkeerde ook de toegang tot Canvas. Later op donderdag slaagde Instructure, de maker van Canvas, erin het platform grotendeels weer online te krijgen. Het is nog onduidelijk of het bedrijf losgeld heeft betaald. De inbraak benadrukt de risico’s van het centraliseren van gevoelige onderwijs- en persoonsgegevens van miljoenen studenten in één dienst.

Wat is Canvas en waarom is het zo cruciaal?

Canvas fungeert als een portaal waar docenten opdrachten en colleges plaatsen, discussieforums beheren en studenten met elkaar en hun docenten kunnen communiceren. Daarnaast koppelt het systeem aan andere onderwijstechnologieën. Volgens een melding van Instructure bevat de gestolen data ‘bepaalde persoonsgegevens van gebruikers van getroffen organisaties’, waaronder namen, e-mailadressen, studentennummers en berichten tussen Canvas-gebruikers.

Instructure bevestigde dat het tweemaal is gehackt: op 29 april en opnieuw op donderdag.

Reacties en gevolgen van de hack

Kort na de hack sprak ik met Ian Linkletter, een digitaal bibliothecaris gespecialiseerd in opkomende onderwijstechnologie. Linkletter werkt al twintig jaar in de EdTech-sector en verwierf de afgelopen jaren bekendheid door privacykwesties rond Proctorio, een software voor online toetsafname die tijdens de pandemie veel werd gebruikt. Linkletter werd door Proctorio aangeklaagd, maar de zaak werd uiteindelijk geseponeerd.

Linkletter noemt de Canvas-hack ‘de grootste ramp op het gebied van studentengegevensprivacy ooit’, mede door de omvang en de gevoeligheid van de gestolen data. Hieronder een licht bewerkte weergave van ons gesprek.

404 Media: Wat weten we tot nu toe over de hack?

Linkletter: Om ongeveer 13:20 uur [Pacifische tijd, donderdag] begonnen mensen op Reddit screenshots te posten van het meldingsbericht dat ze ontvingen. Sommige instellingen waarschuwden gebruikers om direct hun wachtwoord te wijzigen. Op dit moment heerst er paniek: sommige scholen overleggen of ze de eindexamens volgende week moeten annuleren. De implicaties zijn enorm, omdat scholen volledig afhankelijk zijn van dit leerbeheersysteem voor communicatie, beoordelingen en examens – alles.

Waarom noemt u dit de grootste ramp in de geschiedenis van studentengegevensprivacy?

Linkletter: Ik heb in de EdTech-sector gewerkt sinds de tijd van Blackboard en ondersteunde Canvas vanaf 2017 tot 2022 aan de Universiteit van Brits-Columbia. Toen we in 2017 overstapten op Canvas, zagen we de verschuiving van kleine, zelfstandig beheerde leeromgevingen naar één groot, gecentraliseerd systeem. Dat brengt enorme risico’s met zich mee.