Wanstaltig: Hackersbende ShinyHunters plundert data van miljoenen studenten en docenten

dinsdag, 5 mei 2026 (14:52) - Dagelijkse Standaard

In dit artikel:

Een brede hack van het leerplatform Canvas heeft volgens het artikel de gegevens van ongeveer 275 miljoen gebruikers buitgemaakt; de hackersgroep ShinyHunters claimt de aanval. Getroffen data zou onder meer namen, e‑mailadressen, studentnummers en interne berichten omvatten. Het Amerikaanse moederbedrijf Instructure zegt volgens het stuk dat er geen wachtwoorden, geboortedata of financiële gegevens zijn gelekt, maar de auteur betoogt dat de beschikbare persoonsgegevens al voldoende zijn voor gerichte phishing, identiteitsfraude en andere oplichting.

De tekst richt felle kritiek op universiteiten en hogescholen die Canvas massaal gebruiken — onder meer Hogeschool Utrecht, Universiteit van Amsterdam, VU Amsterdam, Erasmus Universiteit Rotterdam en Tilburg University worden genoemd — omdat hun besturen naar verluidt “nog niets hebben gehoord” en dus niet weten of de data van hun studenten en medewerkers in de gestolen set voorkomt. De auteur beschuldigt bestuurders en het kabinet (met name genoemd: Rob Jetten) van nalatigheid en hypocrisie: enerzijds streng optreden richting studenten over gedragsregels, anderzijds falen in het beschermen van fundamentele persoonsgegevens.

Het artikel plaatst de hack in een breder patroon: ShinyHunters zou ook betrokken zijn geweest bij eerdere grootschalige datalekken (zoals bij Odido) en opereert volgens de auteur vanuit puur financieel motief. Instructure zou inmiddels beveiligingsupdates hebben doorgevoerd en het platform intensiever monitoren, maar dat wordt door de schrijver als PR-afweer gezien — het leed zou al geleden zijn omdat de gegevens op het dark web verhandeld kunnen worden.

Als reactie pleit het stuk voor strengere strafrechtelijke en bestuurlijke consequenties voor organisaties die structureel falen in hun digitale zorgplicht en roept het op tot meer transparantie en actie van onderwijsinstellingen. De kernboodschap is dat veel studenten en docenten nu verhoogd risico lopen op fraude en dat vertrouwen in digitale veiligheid binnen het onderwijs ernstig is geschaad.

Kort extra context voor lezers: Canvas is een veelgebruikt leermanagementsysteem; als persoonsgegevens uitlekken, zijn gerichte phishingcampagnes en misbruik van accounts reële bedreigingen. Instellingen die gebruikmaken van dergelijke systemen worden doorgaans geadviseerd om snel te onderzoeken of hun data is getroffen, betrokkenen te informeren, toegangstokens en API‑sleutels te roteren en extra detectie- en mitigatiemaatregelen in te stellen.