Update Canvas-hack voor partners van de HU

Zoals u in diverse media en op de HU-website heeft kunnen lezen, is de digitale leeromgeving Canvas van leverancier Instructure onlangs getroffen door een hack, uitgevoerd door hackersgroep ‘Shinyhunters'. Bij deze inbraak zijn persoonsgegevens van studenten, oud-studenten, docenten, medewerkers, oud-medewerkers en gastdocenten bij onderwijsinstellingen wereldwijd buitgemaakt. Instructure heeft bevestigd dat ook de HU is getroffen, maar kan nog niet definitief bevestigen in welke mate, met welke gegevens, en van welke type gebruikers. Diverse media meldden dat Instructure een akkoord heeft gesloten met de hackers van ShinyHunters en dat de gestolen gegevens inmiddels zijn verwijderd. Dat is echter niet met zekerheid te verifiëren, waardoor risico's blijven bestaan en we de hoogst mogelijke zorgvuldigheid in acht blijven nemen.

Om welke gegevens gaat het? 

De betrokkenheid van uw organisatie bij de verwerkingsprocessen in Canvas kan verschillende vormen hebben. Medewerkers van uw organisatie kunnen bij ons onderwijs volgens, betrokken zijn als gastdocent of uw organisatie is opdrachtgever van studentproducten.Instructure geeft aan dat het mogelijk om de volgende gegevens gaat: 

• Canvas gebruikersnaam van student/docent
• E-mailadres HU-account van student/docent
• Studentnummer/personeelsnummer 
• Cursusnaam waarvoor men de Canvas-omgeving gebruikt 
• Een veld waarin de actuele inschrijving voor de cursus wordt bevestigd
• Berichten in de module in Canvas voor communicatie tussen student en docent 

 Welke gegevens zijn uitgesloten 

De volgende gegevens werden niet verwerkt in Canvas en/of zijn volgens Instructure niet buitgemaakt: 

• Lesmaterialen 
• Financiële gegevens 
• Wachtwoorden 
• Identiteitsbewijzen
• Organisatiegegevens externe partijen 

Wij betreuren dat dit heeft kunnen gebeuren. Hogeschool Utrecht eist van elke leverancier een hoog beveiligingsniveau en hoge beveiligingsmaatregelen. Deze legt de HU ook vast in de overeenkomst en de leveringsafspraken met de leverancier. Helaas is dit niet afdoende gebleken.  

Op het moment dat duidelijk werd dat Canvas niet meer veilig te gebruiken was, heeft de HU Canvas direct offline gehaald en alle koppelingen met andere systemen uitgezet. Aangeleverde analyses en een rapport door een externe partij, die in opdracht van Instructure onderzoek doet naar het incident, zijn door de HU geanalyseerd en beoordeeld. Pas daarna is groen licht gegeven om Canvas weer gefaseerd online te brengen.

Na een beveiligingsincident als dit proberen criminelen soms mensen te misleiden met nep-e-mails of berichten die lijken te komen van een bekende organisatie, zoals HU of Canvas. Krijgt u een verdacht bericht? Klik niet op links en meld het bij uw eigen helpdesk.

We kunnen ons voorstellen dat u nog vragen hebt of zich zorgen maakt. Hiervoor kunt u contact opnemen met de Functionaris Gegevensbescherming van de HU (fg@hu.nl).