Gegevens van duizenden Nederlandse studenten gestolen: hackersbende ShinyHunters chanteert scholen

In dit artikel:

Hackersgroep ShinyHunters heeft bij een grootschalige inbraak in de onderwijssoftware Canvas gegevens van tientallen Nederlandse onderwijsinstellingen openbaar gemaakt en afgedwongen. Uit de door de groep woensdag gepubliceerde lijst blijkt dat ruim 44 Nederlandse scholen op de lijst staan, waaronder Hogeschool Utrecht, Universiteit van Amsterdam, Vrije Universiteit Amsterdam, De Haagse Hogeschool, Deltion College (Zwolle), Grafisch Lyceum (Haarlem/Rotterdam) en Hogeschool Windesheim. Instructure, het Amerikaanse moederbedrijf van Canvas, bevestigde maandag dat wereldwijd naar schatting 275 miljoen studenten, docenten en medewerkers van ongeveer 9.000 instellingen zijn getroffen.

ShinyHunters, die eerder onder meer de Odido-hack pleegde, eist betaling en heeft de betrokken instellingen een ultimatum gegeven: tot 7 mei kunnen zij onderhandelen om te voorkomen dat de gestolen data op het dark web verschijnt. Het is nog onduidelijk of en welke scholen op de afpersingspoging ingaan; reacties van de genoemde instellingen zijn (nog) niet bekendgemaakt.

De buitgemaakte database bevat volgens Instructure namen, e‑mailadressen, studentnummers en onderlinge berichten tussen gebruikers. De leverancier stelt dat er geen wachtwoorden, geboortedata, identiteitsbewijzen of financiële gegevens zijn gelekt. Desondanks vergroot de vrijgave het risico op phishing en identiteitsmisbruik voor studenten en medewerkers, omdat contactgegevens en interne communicatie nu in verkeerde handen kunnen vallen.

Voor betrokkenen betekent dit dat zij alert moeten zijn op verdachte e‑mails of berichten en dat instellingen mogelijk aanvullende beveiligings- en communicatiemaatregelen zullen nemen om schade te beperken en gebruikers te informeren.