Dieven stelen privédata van studenten en docenten via onderwijssoftware Canvas

Een hackaanval op onderwijssoftware Canvas raakt gebruikersdata van studenten, docenten en onderwijsmedewerkers. Leverancier Instructure meldde zaterdag dat privégegevens zijn gestolen: namen, e-mailadressen, studentennummers en berichtenverkeer van gebruikers.

De Amerikaanse softwareleverancier stelt dat het geen bewijs heeft dat de datadieven ook toegang hadden tot wachtwoorden, geboortedatums, identiteitsbewijzen en financiële informatie. Dit is een eerste bevinding uit het forensische onderzoek, dat nog loopt. Instructure verklaart dat het getroffen onderwijsinstanties informeert als er nieuwe bevindingen zijn.

Uit voorzorg zijn toegangssleutels voor de onderwijsapplicatie ververst. Hierdoor moeten Canvas-gebruikende organisaties hun toegang opnieuw autoriseren voor sommige tools en voor bepaalde content. Dit kan klanten een 'beperkte verstoring' opleveren, geeft Instructure aan. Het bedrijf heeft ook patches uitgebracht en houdt Canvas-systemen scherper in de gaten.

Claim: data van 275 miljoen mensen

De datadiefstal zou zijn uitgevoerd door ransomwarebende ShinyHunters, meldt Bleeping Computer. Instructure onthulde de hackaanval op vrijdag en gaf toen al aan dat er data was gestolen. Op zaterdag en zondag verstrekte de leverancier meer informatie. Canvas wordt ook gebruikt bij Nederlandse onderwijsinstellingen. Het is nog niet bekend of en in welke mate die zijn geraakt. Volgens de dataleksite van ShinyHunters hebben zij gegevens van 275 miljoen studenten, docenten en andere werknemers bij bijna 9000 scholen wereldwijd.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Jasper Bakker

Nieuwsredacteur

Feedback • 04-05-2026 11:09
64 • submitter: MoBi

04-05-2026 • 11:09

Submitter: MoBi

Lees meer

Ongestructureerde opslag bij gemeente Epe vertraagde onderzoek na hack

Ongestructureerde opslag bij gemeente Epe vertraagde onderzoek na hack Nieuws van 4 mei 2026

ChipSoft onderhandelt met criminelen na datalek patiëntengegevens

ChipSoft onderhandelt met criminelen na datalek patiëntengegevens Nieuws van 23 april 2026

Gemeente Epe vervangt duizend ID-bewijzen gratis na datalek door ClickFix-aanval

Gemeente Epe vervangt duizend ID-bewijzen gratis na datalek door ClickFix-aanval Nieuws van 23 april 2026

Rituals meldt datalek waarbij lidmaatschapsgegevens zijn gestolen

Rituals meldt datalek waarbij lidmaatschapsgegevens zijn gestolen Nieuws van 22 april 2026

Dieven stelen gebruikersgegevens bij Nederlandse paardenforumsite Bokt.nl

Dieven stelen gebruikersgegevens bij Nederlandse paardenforumsite Bokt.nl Nieuws van 21 april 2026

Stichting begint massaclaim tegen Odido vanwege datalek

Stichting begint massaclaim tegen Odido vanwege datalek Nieuws van 20 april 2026

ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack

ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack Nieuws van 16 april 2026

Meer producten en artikelen

Onderwijs en werkgelegenheid Politiek en recht Privacy Cybercrime Cybersecurity datadiefstal Datalek Hack hacken Hackers Ransomware

IT-banen

Meer vacatures

Reacties (64)

64

59

39

0

0

15

Wijzig sortering

bobkosse 4 mei 2026 11:25

Ik ben bang dat dit door al het 'AI en vibe-coding geweld' nog veel frequenter gaat voorkomen. Ik zie nog steeds de tenenkrommende, euforische, berichten van mensen voorbij komen die bewerken een of andere app gebouwd hebben zonder dat ze kunnen programmeren. Dat kan in de toekomst niet anders dan fout gaan.

Pasteis @bobkosse • 4 mei 2026 11:44

Ik ben bang dat dit door al het 'AI en vibe-coding geweld' nog veel frequenter gaat voorkomen. Ik zie nog steeds de tenenkrommende, euforische, berichten van mensen voorbij komen die bewerken een of andere app gebouwd hebben zonder dat ze kunnen programmeren. Dat kan in de toekomst niet anders dan fout gaan.

Ik neem toch wel aan dat zulke bedrijven niet doodleuk zitten te vibe-coden met enorme gaten in hun programma's. Risico's in de keten zal het wel krijgen. Want je bent ook via-via verbonden met elkaar. En daar zitten wel risico's.

willemjan92 @Pasteis • 4 mei 2026 11:57

Ik neem toch wel aan dat zulke bedrijven niet doodleuk zitten te vibe-coden met enorme gaten in hun programma's.

Ik hoop dat je gelijk hebt, ik hoop dat het management van bedrijven slim genoeg is.... Maar met alle berichten van (massa-)ontslagen de afgelopen tijd omdat bedrijven nog meer AI gaan gebruiken, vrees ik toch het ergste.

Pasteis @willemjan92 • 4 mei 2026 14:33

[...]

Ik hoop dat je gelijk hebt, ik hoop dat het management van bedrijven slim genoeg is.... Maar met alle berichten van (massa-)ontslagen de afgelopen tijd omdat bedrijven nog meer AI gaan gebruiken, vrees ik toch het ergste.

Als je de juiste mensen weet te behouden hoeft dit geen probleem te zijn natuurlijk, maar ik vrees dat er ook gesneden wordt in kwaliteit, omdat het grote aantallen zijn en vaak managers niet altijd even goed de kwaliteit, kennis en kunde van een medewerker correct beoordeelt.

bobkosse @Pasteis • 4 mei 2026 15:42

En een vibe-codende junior is natuurlijk veel goedkoper dan een senior die de code echt begrijpt. Daar zit een groot risico. Vooral snijden in de kosten (wat vaak gelijk is aan snijden in de kwaliteit)

M. Schaap @Pasteis • 4 mei 2026 13:30

Totdat de deadlines niet gehaald dreigen te worden, dan kan ik me voorstellen dat men toch wat minder kritisch en kieskeurig wordt.

Houtenklaas @Pasteis • 4 mei 2026 14:01

Ik neem toch wel aan dat zulke bedrijven niet doodleuk zitten te vibe-coden met enorme gaten in hun programma's.

Dat hoop ik ook niet, maar waar het wellicht op fout gaat dat 6 kleine foutjes in een bepaalde volgorde, met bepaalde input in zeer selecte omstandigheden ineens toegang geeft tot iets. In de praktijk is de mens gewoon te beperkt om de exacte omstandigheden te vinden waarin dat gebeurt. AI is daar gewoon veel beter in.

Kortgeleden vond iemand een fout in een stukje code van me wat al zeker 8 jaar uitontwikkeld is, daar moesten een aantal stappen in een bepaalde volgorde met specifieke input aan vooraf gaan. Geen gevolgen verder gelukkig omdat de fout alsnog werd afgevangen, maar geeft wel aan dat een mens simpelweg niet alle mogelijke combinaties kan aflopen in een testscenario. Precies dat was dacht ik ook de reden dat Anthropic nog even wilde wachten met life gaan. Vanuit programmeursoptiek ben ik machtig benieuwd wat Anthropic vindt in OS'sen die "security minded" zijn.

svenslootweg @Pasteis • 4 mei 2026 18:19

[...]

Ik neem toch wel aan dat zulke bedrijven niet doodleuk zitten te vibe-coden met enorme gaten in hun programma's.

Dat doen bedrijven helaas wel. Ook bedrijven die persoonsgegevens of zelfs gevoelige persoonsgegevens verwerken. Als je een cultuur binnen de softwareontwikkeling hebt die vibe coding normaliseert, en die hebben we, dan is de stap snel gezet.

Webgnome @bobkosse • 4 mei 2026 12:49

Sorry, nee. Dat dit een groter risico met zich mee brengt ben ik het mee eens. Echter gaat dit niet over een product van het niveau 'mijn konijn'. Als je nou had gezegd dat door AI de kans groter is dat er lekken ontdekt worden dan had ik je zonder meer gelijk gegeven. Want dat is wel al aan de hand

bobkosse @Webgnome • 4 mei 2026 15:44

Ik bedoel meer dat we in de toekomst gaan zien dat 'mijn konijn' groeit tot een 'mijn dierenpark' en nog steeds draait op een basis die niet goed beveiligd is. Dan is het probleem ineens wel groter en heeft een lek ook meer impact.

Pathogen @bobkosse • 4 mei 2026 17:56

Je beschrijft Chipsoft

@bobkosse • 4 mei 2026 12:19

Er staat nergens dat vibe en ai-coding er ook maar iets mee te maken heeft. En als serieus bedrijf doe je ook geen website die de buurman van de schoonmaker in elkaar flanst. Waarom dan wel van vibe-codende mensen die blij zijn dat ze iets leuks kunnen maken wat werkt?

asing @bobkosse • 4 mei 2026 14:10

Het grootste deel van de aanvallen wordt gestart met een social engineering attack. Een mailtje of telefoontje om gegevens los te peuteren.

Dat is het makkelijkst om binnen te komen.

armageddon_2k1 @bobkosse • 4 mei 2026 13:33

Wauw... wat een unieke mening die nog nooit iemand eerder geuit heeft hier

bobkosse @armageddon_2k1 • 4 mei 2026 15:44

Ik ben blij dat meer mensen de risico's zien!

Fay @bobkosse • 4 mei 2026 13:53

ja en nee, je kan nu makkerlijker dan ooit scannen op security issues maar dan moet dit wel gedaan worden.

Het zou me niet verassen als Shinyhunters toegang heeft tot Claude Mythos gezien hoe druk ze de afgelopen tijd zijn

Skywalker27 @bobkosse • 4 mei 2026 15:15

Daarnaast kan je codex bijvoorbeeld wel Secure coding principles meegeven hoor. En terwijl we in een POC zitten voor Cyber van OpenAI helpt dit echt wel bij de CDLC bij de code reviews.

bobkosse @Skywalker27 • 4 mei 2026 15:49

Ik zeg ook niet dat AI per definitie slecht is. Ik merk alleen dat er een aantal risico's in zitten. AI genereert in een veel hoger tempo code dan een mens dat doet. AI maakt hierbij fouten, dus is het verstandig een mens deze code te laten controleren. Het risico is dat de developer die moet reviewen, door de grotere hoeveelheid code in combinatie met tijddruk, de review minder grondig doet. Ook de bias "AI maakt hier geen foute mee" kan sneller leiden tot een goedkeuring van code waar niet echt naar gekeken is.

Dus inderdaad, AI helpt enorm bij de snelheid, maar daarbij moet niet de snelheid van reviewen ook omhoog gaan.

ikno @bobkosse • 4 mei 2026 16:08

Mensen noemen je gek, maar Amazon heeft wel gewoon twee grote outages gehad vanwege uit de hand gelopen AI tools. Het is niet heel ver gezocht

synoniem 4 mei 2026 11:26

9000 scholen en 275.000.000 studenten betekent gemiddeld 30.555 studenten per school lijkt me vrij hoog. Tenzij ze net als Odido een veel te lange retentieperiode hebben gebruikt.

Pat911 @synoniem • 4 mei 2026 11:35

In de USA gelden andere retentieperiodes, afhankelijk van welke informatie en in welke staat een school zich bevindt. Dit kan tot wel 60 jaar zijn.

stuffie123 @Pat911 • 4 mei 2026 17:35

Als ik iets moet bewaren, maar niet nodig heb, dan gaat het in een doos naar zolder achter een schot.

EmbeddedPower @synoniem • 4 mei 2026 11:32

Dit gaat over meer dan een lokale basisschool, maar ook over internationale universiteiten.
Ik vind het wel daarmee we mee vallen.

De TU Delft heeft bijvoorbeeld:
26.000+ studenten
4.600+ publicaties per jaar
7.500+ staff fte

@synoniem • 4 mei 2026 12:15

Ze kunnen data hebben van een student maar niet de school waar ie op zit? Je aanname is dat dit allemaal studenten zijn van de lijst van scholen die ze ook hebben gehacked.

ChemoNL @synoniem • 4 mei 2026 12:54

Ook partijen zoals de brandweer gebruiken Canvas.

Al onze opleidingen (theorie) staat daar op. Het is dus meer dan alleen scholen

theboss100 @synoniem • 4 mei 2026 15:05

Dit is zeker niet gek. Een hogeschool heeft ook al gauw 20 tot 30k studenten die actief studeren. Wat andere al aangaven is dat sommige gegevens bij wet langer bewaard moeten blijven bij scholen voordat ze gearchiveerd of verwijderd worden.

Bron: Ik heb zelf bij verschillende hogescholen gewerkt

kabouter428 4 mei 2026 11:26

Als ik in mijn canvas kijk leuk dat ze mijn mailadres hebben dat is 123456@student.x.nl wat zien ze verder die paar cijfers die zijn behaald die er alleen staan als niet officiële registratie en de berichten met een paar docenten en studenten over hoe iets in elkaar steekt en of iemand in je groepje mee mag doen en je naam dan.
Ik heb zelf dan ook wel het idee dat er hier op een andere manier van Canvas gebruik wordt gemaakt dan in de VS. Want mijn financiële data staat bij de uni en ik kan daar bijvoorbeeld helemaal niks over vinden in canvas zelf of aanpassen bijvoorbeeld.

locke960 @kabouter428 • 4 mei 2026 12:12

Dus ze hebben:

Je naam, studentennummer en email adres van de universiteit
Uiteraard de naam van de universiteit.
In welk jaar je op de universiteit zit/zat, dus een indicatie van je leeftijd.
De namen en universiteit email adressen van studenten en docenten waar je mee communiceert.
-> Dus een inzicht in je sociale netwerk
-> inzicht in wat je studeert (via docenten)
-> inzicht in hoe goed je bent (cijfers, niet officieel maar who cares, info is goed genoeg)
De inhoud van de mailtjes.
En wat er mogelijk nog meer in het systeem staat waarvan jij niet eens op de hoogte hoeft te zijn. Dat jij het niet ziet betekent niet dat het er niet is.

Dit is een leuke hoeveelheid informatie om met andere big data te combineren, je verder te identificeren en een nauwkeuriger profiel van je aan te leggen.

[Reactie gewijzigd door locke960 op 4 mei 2026 12:13]

kabouter428 @locke960 • 4 mei 2026 14:22

Je kan niet zien in canvas in welk jaar je zit of wat je doet. Dat is een pure aannamen, 2 jaar terug zat ik op universiteit x daarna op een andere en nu weer op universiteit x dan zegt dan ook helemaal niks.
Als je een minor doet sta je er in maar daar buiten niet.
Ik doe financial econometrics en econometrics op het moment wat is mijn studierichting? Je kan daar helemaal niks over zeggen wat ik nu aan studie doe behalve een aanname.

Vanuit canvas mail je niet echt want ze hebben een eigen berichten dienst is ook niet hetzelfde als studenten mail. Dit adres zouden ze inderdaad wel kunnen hebben ivm de notificaties die canvas stuurt, ik kan vanuit canvas dan ook niet naar persoon X een bericht sturen die niet aan de groep is toegekend.

Hobbit13 @locke960 • 4 mei 2026 14:45

Is toch sowieso niet zo'n heel interesante lijst? Veel ervan staat ook op iemands publieke LinkedIn pagina.

Iig hier in Nederland zetten universiteiten geen IBAN of paspoortnummers e.d. in Canvas, daarvoor gebruiken ze andere systemen.

Er staat veel info van opleidingen op Canvas, als Universiteit A net een opleiding begonnen is, en universiteit B wil dezelfde opleiding starten, is de Canvas pagina van Universiteit A heel interesant voor Universiteit B.

locke960 @Hobbit13 • 4 mei 2026 17:26

De vraag is niet of een stukje informatie interessant is. De vraag is of vele stukjes informatie, die allen op zich niet zo interessant zijn, samen wel interessant zijn.

Eén regendruppel op je lekkende dak is ook niet interessant. Veel druppels wel.

SmexyMachamp 4 mei 2026 11:30

Misschien ben ik te achterlijk om goed te lezen, doch begrijp ik goed dat instructure holdings, inc. ook Canva (zonder de S) heeft als onderdeel? En is hier dan ook de database van gelekt?

SPee @SmexyMachamp • 4 mei 2026 15:03

Nee. De Canva (zonder S) is een zelfstandig, australisch bedrijf, zonder enige relatie met Instructure een amerikaans bedrijf met een product genaamd Canvas (met S).
De 'zonder S' houdt zich bezig met grafische software, de 'met S' houdt zich bezig met leren.

SmexyMachamp @SPee • 4 mei 2026 16:55

Erg bedankt, ik zie de kinderen op de school waar ik werk het veel gebruiken, maar dan zal het een powerpoint vervanger zijn. Dank je!

Kenhas @SmexyMachamp • 4 mei 2026 13:43

Waar haal je Canva vandaan? Dat heeft hier toch niets mee te maken? Zie niet direct waar jij dat uit afleidt

IJsbeer 4 mei 2026 11:15

Dit is dezelfde groep die ook achter de Odido hack zat.

Sluuut 4 mei 2026 11:21

Dat doen ze goed; per direct toegangssleutels verversen, patches releasen én communiceren over de huidige status, al is dat niet een definitief oordeel, zo houd je wel je klanten op de hoogte van de status en de voortgang.

Therealpro1341 @Sluuut • 4 mei 2026 13:55

Ja dit pakken ze beter aan dan Odido.

FrostyPeet 4 mei 2026 11:45

Hmmm.

Ik zou denken dat ze per land een aparte database hebben en gesegmenteerd. Als dus alle data van alle aangesloten onderwijsinstellingen is gestolen zou dat ook kunnen inhouden dat "sommigen" alle data van anderen kan inzien. Bijvoorbeeld als Trump opdracht geeft.

Toen ik security 2003 deed was er al een inside joke. Bedrijven zijn of gehackt of de hack is nog niet ontdekt.

Het begint steeds meer waanzin te worden om alles aan internet te hangen terwijl gespecialiseerde hackergroepen rustig een paar ton er tegen aan kunnen gooien en een jaar bezig mogen zijn om ergens binnen te komen. Of je met dijken de zee tracht buiten te houden terwijl het water zoekt naar de kleinste speldenprik om naar binnen te gaan.

Pasteis 4 mei 2026 11:51

Het is niet de vraag of je gehackt wordt, maar wanneer. En als dit gebeurd moet je als bedrijf opletten om doeltreffende maatregelen te treffen en zorgen dat je zoveel mogelijk kan traceren hoe het ontstaan is.

Tuurlijk is het goed om op zijn eerste plaats het proberen te voorkomen! Maar helaas leven we in de tijd dat je als bedrijf moet opboksen tegen een grote groep hackers die veelvuldig pogingen doen. Mede dankzij de dreiging op wereldtournee. Cybersecurity moet om die reden veel prominenter in organisatie ingebed worden en CISO's moeten niet als maar lastig te worden beschouwd.

En dan alsnog.. als je als bedrijf misschien je boel goed op orde hebt. Kan er in de keten wellicht wel zwaktes zitten. Iets wat begint met een eenvoudige (spear) phishing, waarmee een virus of erger een worm geïnstalleerd kan worden op een laptop, kan zo verspreid worden. En in het slechtste geval is het een polymporphische bedreiging... waarmee het virus of worm zich aanpast aan de detectie door virusscanners.

Informatiebeveiliging is belangrijker dan ooit!

4 mei 2026 11:52

"
While we continue actively investigating, thus far, indications are that the information involved consists of certain identifying information of users at affected institutions, such as names, email addresses, and student ID numbers, as well as messages among users. At this time, we have found no evidence that passwords, dates of birth, government identifiers, or financial information were involved. If that changes, we will notify any impacted institutions.
"

Als dit klopt dan is het vervelend en zullen ze vast veel spam ontvangen in hun inbox, maar verder niet direct heel schokkend denk ik.

Wel heel vervelend als conversaties kunnen worden ingezien, maar aan de andere kant moet je jouw ervan bewust zijn dat een account die je van een organisatie krijgt (school of werk) volgens mij ten alle tijde eigendom is van die organisatie en niet van jouzelf. Dus wat dat betreft dien je daar al "verstandig" mee om te gaan.

[Reactie gewijzigd door Mit-46 op 4 mei 2026 11:55]

letsa 4 mei 2026 13:05

Is er al ergens een journalistieke bron die iets zegt over de rol van Salesforce als mogelijke entry-point voor dergelijke hacks?

Gezien ShinyHunters doorgaans Salesforce-instances weet te compromitteren, en ze dit ook voor Canva LMS weer (expliciet) noemen op de ShinyHunters Data Leak Site, zou ik bedrijven aanraden om extra opmerkzaam te zijn hiervoor:

Nearly 9,000 schools worldwide affected. 275 million individuals data ranging from students, teachers, and other staff containing PII. Several billions of private messages among students and teachers and students and other students involved, containing personal conversations and other PII. Your Salesforce instance was also breached and a lot more other data is involved. Pay or Leak.

This is a final warning to reach out by 6 May 2026 before we leak along with several annoying (digital) problems that'll come your way. Make the right decision, don't be the next headline.

Om te kunnen reageren moet je ingelogd zijn