Het gaat om een grootschalige hack van het hackerscollectief Shinyhunters waar gegevens van studenten en docenten zijn gelekt. Instructure heeft aangegeven bevestiging te hebben ontvangen dat de onrechtmatig verkregen gegevens zijn verwijderd en niet zullen worden gepubliceerd. Hoewel het risico op verdere verspreiding hiermee is verkleind, blijft de VU de situatie zorgvuldig monitoren en aanvullende beveiligingsmaatregelen nemen.
Bekijk hier de veelgestelde vragen over het cyberincident Canvas. Zodra er nieuwe informatie beschikbaar is, zullen we dit bericht en de FAQ bijwerken.
Update 20 mei – Lokale Canvas-accounts weer geactiveerd
Een deel van de gebruikers van VU Canvas maakte gebruik van zogenoemde lokale Canvas-accounts. Deze accounts waren vanwege de aanvullende beveiligingsmaatregelen rondom het beveiligingsincident tijdelijk niet beschikbaar. De lokale Canvas-accounts die in de afgelopen drie maanden actief zijn geweest, zijn inmiddels weer geactiveerd. Voor deze accounts zijn aanvullende beveiligingsmaatregelen genomen, waaronder extra verificatie bij het inloggen. Ondertussen werkt de VU aan een duurzame oplossing voor het beheer en de beveiliging van deze accounts.
Heb je geen toegang tot Canvas terwijl je die wel zou moeten hebben? Of heb je een vraag? Neem dan contact op met het onderwijsbureau van je faculteit of met de verantwoordelijke voor je (LLO-)opleiding of externe onderwijsprogramma. Zij kunnen beoordelen of je account opnieuw geactiveerd moet worden en hiervoor een aanvraag indienen.
Update 19 mei - Gekoppelde applicaties binnen Canvas weer beschikbaar
Alle gekoppelde applicaties binnen Canvas (zgn. LTI’s) zijn inmiddels weer beschikbaar. Daarmee zijn de meeste functionaliteiten van Canvas weer werkzaam voor studenten en medewerkers van de VU. Mocht je toch technische problemen ervaren, neem dan contact op met de IT Servicedesk of met je lokale IT-ondersteuner/facultaire ondersteuning.
Lees hier ook de update van koepelorganisatie UNL.
Update 12 mei, 17.45 uur - Herstart Canvas
Canvas is weer beschikbaar voor medewerkers en studenten met een VUnet-ID. Momenteel wordt de onderwijssoftware gefaseerd opgestart. Overige gebruikers van Canvas, die momenteel nog geen toegang hebben, dienen voorlopig gebruik te maken van de workarounds voor Canvas.
De VU heeft aanvullende veiligheidsmaatregelen genomen en Canvas gecontroleerd en gefaseerd beschikbaar gemaakt voor studenten en medewerkers. Daarbij is zorgvuldig gekeken naar zowel veiligheid en resterende risico’s als de impact die de afwezigheid van Canvas heeft op studenten, medewerkers en het onderwijs. De VU vraagt studenten en medewerkers wel om alert te blijven op phishingmails en verdachte berichten.
Omdat het systeem enige tijd nodig heeft om alle gegevens en functionaliteiten weer veilig te laden, kan het zijn dat niet alle bestaande informatie in Canvas direct inzichtelijk is en kan het systeem vertraagd reageren. Daarom blijven in de tussentijd de alternatieven, inclusief de ondersteuning, voor de workarounds voor Canvas beschikbaar.
Voor studenten en medewerkers van de VU volgt hierover op woensdag 13 mei meer informatie.
Lees hier ook de update van koepelorganisatie UNL.
Update 12 Mei - 9.00 uur
Op dinsdag 12 mei heeft Instructure aangegeven dat de uit Canvas gekopieerde gegevens door het hackerscollectief Shinyhunters zijn verwijderd. De Vrije Universiteit Amsterdam analyseert momenteel de situatie om een stabiele en veilige livegang van Canvas zorgvuldig te kunnen beoordelen. Daarnaast wordt gewerkt aan de voorbereidingen voor een gefaseerde herstart van Canvas. Meer informatie hierover volgt later vandaag.
Update 11 mei – 20.00 uur
Canvas blijft tot maandag 18 mei niet beschikbaar voor studenten en medewerkers van de Vrije Universiteit Amsterdam. De VU heeft nog te weinig inzicht of de getroffen maatregelen door Instructure volledige zekerheid geven voor een veilige opstart van Canvas. Daarom zijn studenten en docenten geïnformeerd over beschikbare alternatieven voor de onderwijssoftware, zodat het onderwijs zo veel als mogelijk door kan gaan.
De VU kiest hiermee bewust voor zorgvuldigheid boven snelheid, zodat we een volledig en betrouwbaar beeld krijgen van de situatie. We begrijpen dat dit besluit veel vraagt van docenten en grote impact heeft voor studenten. Toch zien we deze stap noodzakelijk om stabiliteit en veiligheid van het onderwijs te waarborgen. VU Amsterdam blijft de situatie monitoren om een goede afweging te kunnen maken om Canvas, dan wel niet gefaseerd, op te starten. Het moment van het herstarten van Canvas, kan afwijken van andere universiteiten gezien de technische situatie per universiteit kan verschillen.
Studenten die vragen hebben over onderwijsactiviteiten worden geadviseerd hierover contact op te nemen met hun docent. Docenten kunnen contact opnemen voor ondersteuning bij de organisatie van onderwijsactiviteiten met ICTO-support van de faculteit.
Lees hier ook de laatste update van koepelorganisatie UNL.
Update 11 mei 12:00 uur - Praktische ondersteuning voor docenten
Er wordt hard gewerkt aan een veilige oplossing en aan manieren om het onderwijs aan de VU zo goed mogelijk door te laten gaan. Om hierbij te ondersteunen, is een externe pagina ingericht waarop een document te vinden is met workarounds voor Canvasfunctionaliteiten. De pagina wordt doorlopend bijgewerkt op basis van nieuwe ontwikkelingen en beschikbare oplossingen.
Update 8 mei 18:00 uur - Canvas voorlopig niet inzetbaar
VU Amsterdam heeft besloten het Canvas-onderwijssysteem voorlopig niet te gebruiken. Voordat Canvas weer regulier gebruikt kan worden, hebben we aanvullende inzichten in en meer duidelijkheid nodig van Instructure over de beveiliging van de systemen en de genomen maatregelen. Er wordt momenteel naast het zoeken naar een oplossing, hard gewerkt aan alternatieven voor Canvas. Op deze manier proberen we de impact op het onderwijs zo klein mogelijk te houden. Studenten en medewerkers hebben hierover vrijdag 8 mei een mail ontvangen.
Onderwijs en tentamens aankomende periode
Het onderwijs en de tentamens gaan door zoals gepland. Wij begrijpen dat dit flexibiliteit van docenten en studenten vraagt. We hopen dan ook op begrip voor de situatie. Weet dat er achter de schermen hard wordt gewerkt aan passende oplossingen en het zo snel mogelijk herstellen van de situatie.
Lees hier ook de laatste update van koepelorganisatie UNL.
Update 8 Mei, 08:45 - Onderwijs kan doorgaan
Door het loskoppelen van Canvas als veiligheidsmaatregel, is Canvas voor studenten en medewerkers vandaag niet inzetbaar. Het onderwijs dat vrijdag 8 mei op de campus staat gepland, kan doorgaan. Ook het geplande online onderwijs kan in principe doorgaan. Gebruik hiervoor de beschikbare inloglink in Outlook Calender; de inloglinks in Canvas zijn niet beschikbaar. In de loop van de dag wordt er een update geplaatst welke vervolgmaatregelen worden genomen.
Het is mogelijk dat niet alle onderwijsactiviteiten doorgaan zullen verlopen zoals gebruikelijk. Wij begrijpen dat deze situatie veel vraagt van zowel studenten als docenten. Achter de schermen wordt hard gewerkt aan een passende oplossing en het zo snel mogelijk herstellen van de situatie. Wij danken iedereen voor het geduld, de flexibiliteit en het begrip.
Update 7 mei, 23:50 - VU heeft alle systemen die in verbinding staan met Canvas losgekoppeld
Hackersgroep ShinyHunters heeft in de Canvas-omgeving een bericht geplaatst dat ze opnieuw of nog steeds toegang hebben. Ze dreigen met het publiek maken van de gestolen data. De VU heeft uit voorzorgsmaatregelen alle systemen die in verbinding staan met Canvas losgekoppeld. Als je naar de website van Canvas gaat wordt je geredirect naar deze updatepagina. Dit zal mogelijk gevolgen hebben voor het geven en volgen van onderwijs op 8 mei. De VU heeft een voorlopige melding bij de Autoriteit Persoonsgegevens gedaan.
Update 6 mei
Instructure heeft gemeld dat er sprake is geweest van ongeautoriseerde toegang tot een deel van hun systemen. Indringers hebben gegevens van studenten en medewerkers buitgemaakt. Het gaat mogelijk om namen van studenten en medewerkers, e-mailadressen, student ID’s en berichten tussen gebruikers. Volgens Instructure zijn er geen wachtwoorden gelekt.
Maatregelen
Instructure heeft aanvullende beveiligingsmaatregelen genomen. De VU heeft uit voorzorgsmaatregelen alle systemen die in verbinding staan met Canvas losgekoppeld. Ook wordt er door de VU gemonitord of er gegevens van studenten of medewerkers worden aangeboden op het internet. De VU heeft voorlopige melding bij de Autoriteit Persoonsgegevens gedaan en staat in nauw contact met andere onderwijsinstellingen, SURF en de koepelorganisatie Universiteiten van Nederland over de situatie.
Wat betekent dit voor jou?
Op dit moment is Canvas niet bereikbaar. De gelekte gegevens kunnen worden gebruikt voor phisingmails. We vragen daarom om extra alert te zijn op verdachte berichten. Bijvoorbeeld e-mails die onverwacht binnenkomen of vragen om persoonlijke gegevens te delen. Lees hier meer over hoe je phisingmails kunt herkennen.
Hulp en ondersteuning
Heb je een onverwachts of verdacht bericht ontvangen? Of twijfel je over een e-mail? Neem dan contact op met de IT servicedesk. Voor het bespreken van zorgen over de situatie bekijk hier waar je hiervoor aan de VU terecht kunt.
Lees hier de berichtgeving over het incident van koepelorganisatie Universiteiten van Nederland.