Deutsch
English
Español
Français
Nederlands
Português
Massief Canvas-datalek bevestigd: ShinyHunters richt zich op onderwijssector
Een enorm datalek bij Instructure, het moederbedrijf van het veelgebruikte leerplatform Canvas, heeft de persoonlijke gegevens van tot 275 miljoen studenten, docenten en medewerkers wereldwijd blootgesteld. De hackgroep ShinyHunters eist de verantwoordelijkheid op voor de aanval, die ongeveer 9.000 onderwijsinstellingen trof, waaronder verschillende grote Nederlandse universiteiten. Het lek werd ontdekt op 30 april 2026 en bevestigd door Instructure op 1 mei 2026.
Welke gegevens zijn gestolen bij het Canvas-lek?
Volgens Instructure omvatten de blootgestelde gegevens namen, e-mailadressen, student-ID-nummers en privéberichten. Het bedrijf stelt dat er geen bewijs is dat wachtwoorden, geboortedata, overheids-ID's of financiële informatie zijn gecompromitteerd. ShinyHunters beweert echter 3,65 terabyte aan data te hebben gestolen, waaronder 'miljarden privéberichten'. De hackers zeggen ook dat ze via een verkeerde configuratie inbraken in de Salesforce-omgeving van Instructure.
Ultimatum van ShinyHunters: betalen of lekken
ShinyHunters plaatste een dreiging op het darkweb: 'Neem voor 6 mei 2026 contact met ons op, anders lekken we de data en komen er andere problemen.' De groep staat bekend om 'pay or leak'-afpersing. Eerder troffen ze Odido, Ticketmaster, AT&T en Wattpad. Dit is de tweede grote edtech-datalek in minder dan een jaar voor Instructure, na een social engineering-aanval in september 2025.
Nederlandse universiteiten getroffen
Verschillende Nederlandse instellingen die Canvas gebruiken zijn mogelijk getroffen, waaronder Fontys Hogescholen, Maastricht University, Hogeschool Utrecht, Universiteit van Amsterdam, VU Amsterdam, Erasmus Universiteit Rotterdam en Tilburg University. Maastricht University heeft studenten geïnformeerd dat Canvas veilig blijft. De groeiende dreiging van cyberaanvallen op het onderwijs benadrukt de kwetsbaarheid van gecentraliseerde leerplatforms.
Waarom dit lek belangrijk is voor het onderwijs
Canvas wordt gebruikt door meer dan 8.000 instellingen en staat centraal in dagelijkse onderwijsactiviteiten. Dit lek roept zorgen op over privacy, identiteitsdiefstal en phishing. De onderwijssector is een belangrijk doelwit: K-12-scholen kennen gemiddeld vijf cyberincidenten per week en 98% van de hogeronderwijsinstellingen meldt ten minste één aanval.
Wat studenten en docenten nu moeten doen
- Wijzig Canvas-wachtwoorden en schakel multi-factorauthenticatie in.
- Wees alert op phishing-e-mails die lijken te komen van Instructure of uw instelling.
- Controleer accounts op verdachte activiteiten.
- Klik niet op links of bijlagen uit ongevraagde berichten over het lek.
Regelgevende en juridische implicaties
Het lek kan leiden tot toezicht onder FERPA in de VS, AVG in Europa en andere privacywetten. Nederlandse universiteiten moeten mogelijk melding doen bij de Autoriteit Persoonsgegevens. Massaclaims, vergelijkbaar met die tegen Odido, kunnen ontstaan.
FAQ: Canvas-datalek
Wat is het Canvas-datalek?
Een cyberincident bevestigd door Instructure op 1 mei 2026, waarbij ShinyHunters persoonsgegevens van 275 miljoen gebruikers stal.
Welke gegevens zijn gestolen?
Namen, e-mails, student-ID's en privéberichten. Wachtwoorden, geboortedata, ID's en financiële gegevens zijn niet gecompromitteerd.
Welke scholen zijn getroffen?
Ongeveer 9.000 instellingen wereldwijd, waaronder grote Nederlandse universiteiten zoals de UvA, Maastricht University en Erasmus Universiteit Rotterdam.
Wie is ShinyHunters?
Een hackgroep gevormd rond 2019, bekend om grootschalige datalekken en 'pay or leak'-tactieken. Ze hebben eerder Odido, Ticketmaster en Microsoft getroffen.
Is Canvas veilig na het lek?
Instructure stelt dat Canvas veilig blijft. Ze hebben patches toegepast, API-sleutels geroteerd en monitoring verhoogd. Gebruikers wordt aangeraden wachtwoorden te wijzigen en MFA in te schakelen.
Follow Discussion