Instructure, het bedrijf achter het leerbeheersysteem (LMS) Canvas, heeft bevestigd dat er een cyberincident en een daaruit voortvloeiend datalek heeft plaatsgevonden in zijn cloudomgeving.
De ransomwaregroep ShinyHunters beweert verantwoordelijk te zijn voor de aanval en zegt ongeveer 275 miljoen gegevensrecords te hebben gestolen die betrekking hebben op studenten, docenten en personeel.
De criminelen hebben een lijst met 8.809 schooldistricten, universiteiten en online onderwijsplatforms gedeeld met BleepingComputer, waarvan zij beweren dat hun Canvas-systemen zijn getroffen; het aantal gegevensrecords per instelling varieert van tienduizenden tot enkele miljoenen.
Controleer of uw persoonlijke gegevens zijn blootgesteld.
Wat te doen als de Instructure/Canvas-gegevens van uw kind openbaar zijn gemaakt
Als u te horen heeft gekregen dat uw kind getroffen is door het datalek bij Instructure, vraagt u zich wellicht af wat u kunt doen om uw kind te beschermen. Hieronder vindt u enkele praktische maatregelen die u direct kunt nemen.
1. Kijk wat de school en Instructure hierover zeggen
Begin met de mededeling van de school of het schoolbestuur en de updates van Instructure zelf om te achterhalen welke gegevens van uw kind betrokken waren (bijvoorbeeld: naam, e-mailadres, studentnummer of cursusinformatie). Volg de specifieke stappen die zij aanbevelen voor studentenaccounts en houd de vervolgberichten in de gaten voor het geval er nieuwe informatie naar voren komt.
Controleer allereerst of het bericht echt is. Als er iets in het bericht verdacht lijkt, zoals vreemde links, druk om onmiddellijk te handelen of verzoeken om extra gegevens, controleer dit dan eerst. Ga rechtstreeks naar de website van het district of van Instructure en gebruik de daar vermelde contactgegevens om dit te verifiëren.
2. Beveilig de school- en leeraccounts van uw kind
Als uw kind een Canvas-account of een soortgelijk account heeft, wijzig dan onmiddellijk het wachtwoord, vooral als uw school leerlingen of ouders toestaat om in te loggen met een gebruikersnaam en wachtwoord in plaats van via single sign-on. Als uw kind de neiging heeft om wachtwoorden te hergebruiken (bijvoorbeeld door hetzelfde wachtwoord te gebruiken voor Canvas, e-mail en game-accounts), wijzig dan ook die andere wachtwoorden.
Geef elk account een eigen sterk en uniek wachtwoord en overweeg om een wachtwoordbeheerder voor het hele gezin te gebruiken, zodat u deze kunt aanmaken en opslaan zonder dat u op uw geheugen hoeft te vertrouwen. Voor jongere kinderen kunt u deze inloggegevens misschien beter zelf beheren en een lijst bijhouden van de onderwijsplatforms die ze gebruiken.
3. Schakel waar mogelijk meervoudige authenticatie in
Met meervoudige authenticatie (MFA) wordt het veel moeilijker om met alleen een wachtwoord in te loggen op een account. Als je school of je district dit toestaat voor ouder- of leerlingaccounts (bijvoorbeeld via een code die per sms of e-mail wordt verzonden of in een authenticatie-app wordt gegenereerd), schakel deze functie dan in en zorg er bij voorkeur voor dat de codes worden verzonden naar een apparaat of app waarover jij de controle hebt.
Herinner uw kind eraan dat beveiligingscodes te vergelijken zijn met tijdelijke wachtwoorden. Ze mogen deze nooit delen met vrienden, leraren of iemand die zich voordoet als ‘IT-ondersteuning’, zelfs niet als een bericht er urgent uitziet of de huisstijl van de school gebruikt.
4. Overweeg extra identiteitsbescherming voor minderjarigen
Als bij het datalek zeer gevoelige identificatiegegevens betrokken waren (zoals nationale identiteitsnummers of burgerservicenummers in sommige regio’s), vraag dan zowel de school als de getroffen dienstverlener welke beschermingsmaatregelen er voor minderjarigen worden geboden, zoals kredietbewaking of diensten voor identiteitsherstel. In sommige landen kun je ook een kredietblokkering of een soortgelijke blokkering op het dossier van een minderjarige laten plaatsen om te voorkomen dat er nieuwe rekeningen op zijn of haar naam worden geopend.
Ook al is uw kind nu nog te jong om een kredietdossier te hebben, is het toch de moeite waard om dit voorval te noteren, zodat u eraan denkt om zijn of haar gegevens te controleren zodra het oud genoeg is.
5. Wees op uw hoede voor vervolgoplichting
Aanvallers gebruiken graag gestolen gegevens van onderwijsplatforms om phishing- en oplichtingsberichten geloofwaardiger te maken, waarbij ze echte schoolnamen, docenten of cursussen noemen. Wees vooral op uw hoede voor e-mails en sms-berichten die zogenaamd afkomstig zijn van de school, het schoolbestuur of Instructure en waarin u wordt gevraagd om inloggegevens te ‘bevestigen’, onverwachte bijlagen (zoals ‘nieuwe opdrachten’) te openen of kosten te betalen via ongebruikelijke methoden.
Als vuistregel geldt: klik niet op links in ongevraagde berichten over het datalek. Open in plaats daarvan een nieuw browservenster en ga zoals gewoonlijk naar de officiële website of app; log daar vervolgens in om te kijken of er berichten zijn.
Wat weten cybercriminelen over jou?
Gebruik de gratis Digital Footprint-scan Malwarebytes om te zien of uw persoonlijke gegevens online zijn blootgesteld.
