Tientallen Nederlandse onderwijsinstellingen getroffen door grote hack Canvas

In dit artikel:

Een gelekte lijst die BNR inzag zou 44 Nederlandse onderwijsinstellingen bevatten die getroffen zijn door een inbraak in het Canvas-systeem van Instructure. Onder de genoemde organisaties staan onder andere de Universiteit van Amsterdam, Vrije Universiteit Amsterdam, hogescholen zoals Windesheim en Den Haag, plus het Deltion College in Zwolle en het Grafisch Lyceum Haarlem.

De hackersgroep ShinyHunters kreeg toegang tot een Instructure-database en zou namen, e‑mailadressen, studentnummers en onderlinge berichten hebben buitgemaakt. Wereldwijd gaat het volgens berichten om gegevens van meer dan 275 miljoen studenten, docenten en medewerkers bij circa 9.000 onderwijsinstellingen. ShinyHunters is een relatief kleine, maar actieve groep (met kernleden naar verluidt uit onder meer Canada en Frankrijk) die vaak leveranciers van diensten aan veel organisaties aanvalt om zo veel data in één klap te bemachtigen. In Nederland was de groep eerder verantwoordelijk voor onder meer hacks bij Odido (2026), Ticketmaster (2024) en Pornhub (2025), waarbij ongeveer 1,5 miljoen Nederlandse accounts betroffen waren.

De hackers hebben scholen een ultimatum gesteld tot 7 mei en bieden individuele onderhandelingen over betaling aan; uit eerdere incidenten (zoals bij Odido) blijkt dat de groep data daadwerkelijk lekt als er niet wordt toegegeven. Instellingen en betrokkenen lopen risico op privacyverlies en vervolgmisbruik (zoals phishing), dus waakzaamheid en snelle interne communicatie zijn essentieel.