30 miljoen gebruikers. Dat is grofweg de actieve basis voor Canvas. Instructure voert het uit. Duizenden Amerikaanse scholen gebruiken het om cijfers te geven, les te geven en chaos te beheersen. Vervolgens hebben hackers het eind vorige week afgesloten.
Het doel was specifiek. De ‘gratis voor docenten’-accounts van Instructure zijn gehackt. Dat zijn de portalen die docenten directe toegang geven. De groep ShinyHunters kreeg de eer. Ze claimen 275 miljoen gestolen records. Ongeveer 9.000 betrokken instellingen. Security Week rapporteerde de cijfers.
Woensdagochtend kondigde Instructure een deal aan. De hackers zouden de gegevens retourneren. Of verwijder het in ieder geval digitaal. Het bedrijf zegt een bevestiging te hebben ontvangen. Ook een garantie dat klanten niet te maken krijgen met afpersing. Ze hadden het niet over het betalen van losgeld. Ze hebben zojuist een webinar gepland om ‘leiderschap’ te bespreken.
Dit is geen nieuw terrein. Instructure geeft toe dat dit de tweede inbreuk dit jaar is. E-mails. Gebruikersnamen. Cursusnamen. Allemaal blootgesteld. Net nu universiteiten verdrinken in de finales.
Canvas was zaterdag weer online. Zes universiteiten en tientallen schooldistricten hebben echter waarschuwingen afgegeven. CNN merkte op dat ShinyHunters dinsdag een deadline voor de onderhandelingen hadden vastgesteld. Het klinkt bekend.
Waarom scholen? Omdat ze ‘doelrijk zijn, arm aan hulpbronnen’. Experts gebruiken deze woorden vaak.
Tijdens de pandemie zijn we met spoed in edtech terechtgekomen. Geen opleiding. Geen veiligheidsnetten. Nu vragen we ons af of we deze leveranciers kunnen vertrouwen. Als Canvas zijn eigen huis niet kan beschermen, kan de wijk dat dan wel?
Te vaak dienen ze als compliance-theater
EdSurge noemde cybersecurity een toptrend voor 2025. Misschien was dat optimistisch. Aanvallen nemen toe in het hoger onderwijs en in het basis- en voortgezet onderwijs. AI maakt ze scherper. 82 procent van de K-Here is een K-12-organisatie heeft onlangs een incident gemeld. Dat meldt het Center for Internet Security. Ruim 9.300 bevestigingen.
Hier is hoe we hier zijn gekomen:
- 2018: EU heeft AVG aangenomen. Duidelijke regels.
- 2022: Illuminate Education werd geraakt. De VS hadden nog steeds geen nationale consensus. Gewoon verspreide staatswetten.
- 2022: LAUSD weigerde losgeld te betalen. Gang heeft 500 GB op het dark web gedumpt. ‘Honingpotten’, noemden experts scholen.
- 2025: Vroege regering-Trump. Bezuinigingen treffen de federale steun voor cyberbeveiliging. Districten zeggen dat ze ‘in het donker’ werken.
- 2025: EdSurge meldde dat districten strijden tegen AI-bedreigingen. Kleine scholen zijn gemakkelijke doelwitten. De beste verdediging zijn eigenlijk mensen. Firewalls niet. Mensen.
Douglas Levin zegt het botweg op sociale media. De huidige audits zijn zwakke schilden. Nalevingstheater.
Het personeel heeft training nodig. Kinderen hebben bewustzijn nodig. Maar de budgetten zijn krap. De bedreigingen worden slimmer. De gegevens blijven riskant.
Wat gebeurt er als de volgende waarschuwing op dinsdag om 03.00 uur plaatsvindt?
