Historisk lekkasje av studentdata: Canvas-hack rammer millioner av elever og studenter

Tirsdag ettermiddag ble millioner av elever og studenter ved tusenvis av skoler og universiteter utestengt fra Canvas, en sentral læringsplattform som benyttes i stor grad i undervisningen. Hackergruppen ShinyHunters har angivelig brutt seg inn i Canvas’ morselskap, stjålet «milliarder» av meldinger og skaffet seg tilgang til data for over 275 millioner personer. Gruppen blokkerte også tilgangen til plattformen.

Senere på dagen klarte Instructure, som utvikler Canvas, å gjenopprette tilgangen for de fleste brukere. Det er imidlertid uklart om selskapet har betalt løsepenger. Hacken illustrerer risikoen ved å samle sensitiv utdannings- og personopplysninger fra millioner av elever og studenter i én sentral tjeneste.

Canvas som digital skoleportal

Canvas fungerer som en digital portal der lærere legger ut oppgaver og forelesninger, og der elever og studenter kan kommunisere med hverandre og lærerne. Plattformen integreres også med andre utdanningsteknologier. Ifølge en oppdatering fra Instructure inneholder de stjålne dataene «visse personopplysninger om brukere ved berørte organisasjoner». Dette inkluderer navn, e-postadresser, student-ID-nummer og meldinger mellom Canvas-brukere.

Instructure bekreftet at de ble utsatt for to separate angrep – først 29. april og deretter tirsdag.

Ekspert: «Den største studentdata-skandalen i historien»

Etter hacken kontaktet vi Ian Linkletter, digital bibliotekar og ekspert på utdanningsteknologi, for å diskutere konsekvensene av angrepet. Linkletter har jobbet med utdanningsteknologi i 20 år og har de siste årene blitt kjent for å avsløre personvernproblemer i programvare som Proctorio, som ble mye brukt under koronapandemien. Han ble saksøkt av Proctorio, men saken ble senere droppet.

Linkletter beskriver Canvas-hacken som «den største studentdata-skandalen i historien» på grunn av omfanget og sensitiviteten til de stjålne dataene. Nedenfor gjengir vi en redigert versjon av samtalen vår med ham:

404 Media: Hva vet vi om hacken så langt?

Linkletter: Rundt klokken 21.20 [norsk tid] begynte brukere å poste skjermbilder av varsler de hadde mottatt. Noen institusjoner ba folk om å bytte passord umiddelbart. Foreløpig er det panikk blant brukere, og ledelsen ved skolene diskuterer om de må avlyse eksamener neste uke. Konsekvensene er enorme fordi skolene er helt avhengige av dette læringshåndteringssystemet for alt fra kommunikasjon til karaktersetting og eksamener.

404 Media: Du har jobbet med EdTech i 20 år, og du kaller dette den største studentdata-skandalen i historien. Hva begrunner du det med?

Linkletter: Jeg har jobbet med Blackboard tidligere og med Canvas fra 2017 til 2022 da jeg var ansatt ved University of British Columbia. Da vi byttet til Canvas i 2017, var det en stor overgang fra små, selvhostede systemer til en stor, sentralisert plattform. Det var nettopp denne sentraliseringen som gjorde systemet sårbart.

Ifølge Linkletter viser hacken hvor farlig det er å samle all utdannings- og personopplysninger i én tjeneste. «Når alt er på ett sted, blir det en attraktiv mål for hackere,» sier han.

Skoler og universiteter i krise

Flere skoler og universiteter har allerede varslet om midlertidige forstyrrelser i undervisningen. Noen har gått så langt som å vurdere å avlyse kommende eksamener på grunn av usikkerheten rundt datasikkerheten. Eksperter understreker behovet for å vurdere alternative løsninger og ikke være avhengige av én enkelt plattform for kritisk utdanningsdata.

Instructure har opprettet en hendelsesoppdateringsside der de informerer om hvilke tiltak de har iverksatt. Selskapet oppfordrer brukere til å være ekstra varsomme med personopplysninger og bytte passord dersom de mistenker at de har blitt berørt.