Article in deDeutsch Article in enEnglish Article in esEspañol Article in frFrançais Article in nlNederlands Article in ptPortuguês

Canvas-hack: Instructure betaalt losgeld, data terug | Update

0
0
Technologie 3 min read 0% read

Instructure bevestigt deal met ShinyHunters na Canvas-hack die 275M gebruikers blootlegde. Gestolen data terug en vernietigd. Geen uitspraak over losgeld. Universiteiten getroffen tijdens examens.

canvas-hack-instructure-data
Facebook X LinkedIn Bluesky WhatsApp
de flag en flag es flag fr flag nl flag pt flag

Instructure, het moederbedrijf van het veelgebruikte Canvas-leerplatform, heeft bevestigd dat het een akkoord heeft bereikt met de cybercriminele groep ShinyHunters nadat hackers gegevens van 275 miljoen gebruikers hadden gestolen. In een verklaring van 12 mei 2026 zei Instructure dat de gestolen gegevens zijn teruggegeven en digitaal vernietigd, hoewel het bedrijf niet bekendmaakte of er losgeld is betaald. Het Canvas datalek 2026 heeft eindexamens aan honderden universiteiten wereldwijd verstoord, waaronder Harvard, Columbia en de Universiteit van Californië.

Wat gebeurde er bij de Canvas-hack?

De inbraak vond plaats in twee fases. Op 3 mei 2026 maakte ShinyHunters misbruik van een kwetsbaarheid in het 'Free-For-Teacher'-accountsysteem van Canvas om toegang te krijgen tot een database met namen, e-mailadressen, student-ID's en interne berichten van ongeveer 275 miljoen gebruikers van meer dan 8.800 onderwijsinstellingen in meer dan 100 landen. Nadat Instructure beveiligingspatches uitbracht in plaats van met de hackers te onderhandelen, sloeg ShinyHunters op 7 mei opnieuw toe door inlogschermen van Canvas te vervormen met een losgeldbericht.

Wie zijn de ShinyHunters-hackers?

ShinyHunters is een beruchte black-hat hackergroep die sinds 2019 actief is. De groep is verantwoordelijk voor meerdere spraakmakende inbraken, waaronder Microsoft, Tokopedia, en de Nederlandse telecomprovider Odido. Bij Odido, dat het grootste datalek in de Nederlandse geschiedenis betrof, lekte ShinyHunters de volledige klantendatabase van 6,2 miljoen accounts nadat het bedrijf weigerde te betalen. De groep hanteert doorgaans een 'pay or leak'-model.

Eerdere doelwitten en methoden

ShinyHunters heeft gebruikgemaakt van cloud-misconfiguraties, OAuth-tokendiefstal, supply chain-aanvallen en zero-day exploits. Bekende slachtoffers zijn Mathway (25 miljoen gebruikers), Wishbone en meerdere edtech-aanbieders.

Instructure's reactie en de losgelddeal

Aanvankelijk nam Instructure een harde lijn. CEO Steve Daly gaf later toe dat het bedrijf de communicatie verkeerd had aangepakt: 'We gaven prioriteit aan beveiligingspatches boven klantcommunicatie, en dat was een fout.' Naarmate de deadline van 12 mei naderde en universiteiten kampten met afgelaste examens, onderhandelde Instructure direct met ShinyHunters. Het bedrijf verklaarde: 'Als onderdeel van de overeenkomst zijn de gegevens aan ons teruggegeven en hebben we digitale bevestiging van vernietiging ontvangen.'

Impact op universiteiten en studenten

De hack dwong tientallen universiteiten Canvas offline te halen, wat chaos veroorzaakte tijdens het eindexamen seizoen. De California State University met meer dan 460.000 studenten was een van de getroffenen. Beveiligingsexperts waarschuwden dat getroffen gebruikers een verhoogd risico lopen op phishingaanvallen. De zorgen over privacy van studentengegevens die door deze inbreuk zijn ontstaan, hebben geleid tot oproepen voor strengere cybersecurityregelgeving in het onderwijs.

Welke gegevens zijn gestolen?

  • Volledige namen en e-mailadressen
  • Student-ID's en institutionele lidmaatschappen
  • Interne berichten en cursusgerelateerde communicatie
  • Aanmaakdatums en laatste logintijden

Er zijn geen financiële gegevens, socialezekerheidsnummers of wachtwoorden gecompromitteerd. De omvang van de gegevens — 3,65 terabyte — maakt dit een van de grootste onderwijsgerelateerde datalekken ooit.

FAQ: Canvas-hack en datalek

Zijn mijn gegevens gestolen bij de Canvas-hack?

Als je student of docent bent bij een instelling die Canvas gebruikt, kunnen je naam, e-mail en student-ID zijn blootgesteld. Neem contact op met de IT-afdeling van je school.

Heeft Instructure het losgeld betaald?

Instructure heeft niet bevestigd of er losgeld is betaald, maar beveiligingsanalisten vermoeden dat er een betaling heeft plaatsgevonden gezien de terugkeer en vernietiging van de gegevens.

Wat moet ik doen als mijn gegevens zijn gecompromitteerd?

Wees alert op phishing-e-mails, schakel tweefactorauthenticatie in voor je onderwijsaccounts, en controleer op verdachte activiteiten.

Is Canvas nu veilig om te gebruiken?

Instructure heeft extra beveiligingsmaatregelen geïmplementeerd en het 'Free-For-Teacher'-accountprogramma stopgezet. Het platform is operationeel, maar wees voorzichtig.

Wie is verantwoordelijk voor de hack?

De ShinyHunters-groep heeft de verantwoordelijkheid opgeëist. De FBI en andere wetshandhavingsinstanties onderzoeken de zaak.

Bronnen

Gerelateerd

canvas-datalek-shinyhunters
Misdaad
Misdaad

Canvas-lek: 275M gebruikers getroffen door ShinyHunters

Canvas-datalek bevestigd: ShinyHunters stal 275M gegevens van 9.000 scholen. Namen, e-mails, student-ID's en...

odido-datalek-hackers-records
Misdaad
Misdaad

Odido Datalek: Hackers Publiceren 680K Records, Geen Losgeld

Odido weigert losgeld terwijl ShinyHunters-hackers 680.000 klantrecords publiceren in een van de grootste...

odido-dataleak-hack-nederland-2026
Crime
Crime

Odido Dataleak 2026: 6,2 Miljoen Accounts Gelekt in Grootste Hack Nederland

Odido's dataleak in 2026 legde 6,2 miljoen klantaccounts bloot in de grootste hack van Nederland, met gestolen...