Onderwijsinstellingen Nederland en België waarschuwen studenten na Canvas-hack

Nederlandse en Belgische onderwijsinstellingen waarschuwen studenten voor phishing na de hackaanval van ransomwarebende ShinyHunters. Onder meer Tilburg University, Maastricht University, de Arteveldehogeschool en de Universiteit van Amsterdam zouden hun studenten hebben gewaarschuwd.

De universiteiten zijn op de hoogte gesteld door Instructure, het bedrijf achter de software, meldt de NOS. Maastricht University vraagt studenten 'extra alert' te zijn op verdachte berichten, zoals e-mails waarin wordt gevraagd om persoonlijke gegevens.

In België heeft de Arteveldehogeschool in Gent haar studenten op de hoogte gesteld van de hack, meldt VRT NWS. De onderwijsinstelling waarschuwt dat kwaadwillenden de gestolen gegevens kunnen gebruiken voor 'gerichte aanvallen'. De hogeschool weet niet van hoeveel studenten en medewerkers gegevens zijn gestolen.

Acht Belgische instellingen getroffen

Ook de Vrije Universiteit Brussel roept studenten op waakzaam te zijn. De universiteit beweert dat bij de hack geen privé-informatie is gestolen en dat alleen schoolgegevens zijn buitgemaakt. Ook zouden studenten en medewerkers Canvas weer veilig kunnen gebruiken. Volgens HLN zijn in totaal acht Belgische onderwijsinstellingen getroffen, waaronder Thomas More, de Karel de Grote Hogeschool, CVO Gent en de Erasmushogeschool.

Eerder deze week meldde Instructure dat bij een hack op onderwijssoftware Canvas namen, e-mailadressen, studentennummers en berichtenverkeer van gebruikers waren gestolen. Volgens de Amerikaanse softwareleverancier is er vooralsnog geen bewijs dat de hackers ook toegang hadden tot wachtwoorden, geboortedatums, identiteitsbewijzen en financiële informatie.

Volgens ShinyHunters zijn de gegevens van 275 miljoen mensen van bijna 9000 onderwijsinstellingen gestolen. Het gaat volgens de hackersgroep om data van studenten, docenten en ander personeel. Volgens BNR zijn 44 Nederlandse instellingen getroffen door de aanval.

Hack stock. Bron: Getty Images — Bron: Getty Images

Vorig nieuwsartikel Volgend nieuwsartikel

Door Imre Himmelbauer

Redacteur

Feedback • 06-05-2026 20:31
35 • submitter: Doane

06-05-2026 • 20:31

Submitter: Doane

Lees meer

Onderwijsplatform Canvas sluit deal met hackersgroep, 'data is verwijderd'

Onderwijsplatform Canvas sluit deal met hackersgroep, 'data is verwijderd' Nieuws van 12 mei 2026

Cyberaanval op Canvas ontregelt onderwijs bij Nederlandse universiteiten

Cyberaanval op Canvas ontregelt onderwijs bij Nederlandse universiteiten Nieuws van 11 mei 2026

'Universiteiten benaderen ShinyHunters om datalek na Canvas-hack te voorkomen'

'Universiteiten benaderen ShinyHunters om datalek na Canvas-hack te voorkomen' Nieuws van 10 mei 2026

Criminelen nemen kort Canvas-omgevingen universiteiten over na 'tweede hack'

Criminelen nemen kort Canvas-omgevingen universiteiten over na 'tweede hack' Nieuws van 8 mei 2026

Dieven stelen privédata van studenten en docenten via onderwijssoftware Canvas

Dieven stelen privédata van studenten en docenten via onderwijssoftware Canvas Nieuws van 4 mei 2026

EU bevestigt: ShinyHunters stal persoonsgegevens bij recente hack

EU bevestigt: ShinyHunters stal persoonsgegevens bij recente hack Nieuws van 3 april 2026

Shinyhunters steelt data van 900.000 mensen bij hack van securitybedrijf Aura

Shinyhunters steelt data van 900.000 mensen bij hack van securitybedrijf Aura Nieuws van 18 maart 2026

RTL Nieuws vindt gegevens van bedreigde personen en ministers in Odido-datalek

RTL Nieuws vindt gegevens van bedreigde personen en ministers in Odido-datalek Nieuws van 3 maart 2026

Meer producten en artikelen

Onderwijs en werkgelegenheid Privacy België Hack Hackers Nederland Onderwijs ShinyHunters

IT-banen

Meer vacatures

Reacties (35)

35

35

22

0

0

6

Wijzig sortering

Cashew 6 mei 2026 20:40

Fascinerend dat deze hackers het voor elkaar krijgen om steevast grote volumes data te ontfutselen. Ik vraag me af waar ze al die data zo snel opgeslagen krijgen zonder gedetecteerd te worden. Dit soort volumes data laad je toch niet "even" in een cloud-omgeving zonder door die platformleverancier opgepikt te worden? Is dit soort hacks dan ook zo goed gedistribueerd dat ze toch onder de detectiegrens weten te blijven of hoe zit dat?

Onderwijs en werkgelegenheid

@Cashew • 6 mei 2026 20:46

Zal je verbazen hoe weinig er eigenlijk gemonitord worden, maar ook hoe brak sommige veelgebruikte monitoring is.

Het is ook lastig zonder de juiste middelen, een paar gig aan data kan een video zijn, maar ook je gehele administratie. Bij het gross van de bedrijven ga je die juiste middelen nog steeds niet vinden.

R_Zwart @batjes • 6 mei 2026 21:19

Het probleem is dat je thresholds op alarmen moet zetten omdat je anders bij het minste geringste alarms krijgt waardoor je de kritische niet meer ziet. Dit is nu typisch een use case waar AI waarde kan hebben.

bzzzt @R_Zwart • 7 mei 2026 09:36

De betere intrusion prevention systemen gebruiken al jaren AI om 'onregelmatigheden' te detecteren. Maar zelfs dan is het voor een voldoende gemotiveerde aanvaller vrij makkelijk om gegevens te smokkelen in andere stromen.

sebastienbo @bzzzt • 7 mei 2026 18:40

Dat is goed voor afwijkend verkeer, maar de meeste hacks lijken gewoon op normaal trafiek naar webpaginas die niet goed beveiligd waren. Soms zit de DB gewoon bloot op internet, een AI kan moeilijk het verschil maken tussen een "select * from table" van de legitieme app en hetzelfde van de hacker.
Monitoring & detection beschermt niet, je moet een correct gesegmenteerd netwerk design maken.

bzzzt @sebastienbo • 8 mei 2026 09:16

In geval van jouw voorbeeld zou ik toch echt beginnen met 'misschien de database niet bloot aan internet hangen'. Alle andere maatregelen verbleken in effectiviteit vergeleken met basale security hygiene...

sebastienbo @batjes • 7 mei 2026 18:37

Monitoring zou ook niet echt helpen om dataloss te voorkomen.

Je hoort data goed te beschermeen, bijvoorbeeld de DB server niet opdezelfde webserver plaatsen, en in een appart netwerk die enkel door de webserver bereikt kan worden.
De webserver zelf moet ook gehardend worden en de DB account moet least privilege zijn (zo weinig mogelijk rechten)

EN Gevoelige gegevens moet je masken in DB's

Anonymoussaurus @Cashew • 6 mei 2026 20:47

Toevallig weet ik dat die Russische website VK en VKMail (uit m'n hoofd) ook allerlei pirated content opslaat. Ze hebben ook object storage. Overigens boeit Rusland het niet of ze pirated content verzamelen. We weten natuurlijk niet of de hackers Russisch zijn, maar dan nog kan je gewoon daar je data opslaan. Of self-hosted ergens in de middle of nowhere op een eiland waar weinig regels gelden. Dat kan natuurlijk ook.

[Reactie gewijzigd door Anonymoussaurus op 6 mei 2026 20:47]

timeraider @Cashew • 6 mei 2026 22:54

"Al die data"

Tekst kost zo goed als geen ruimte .. ken genoeg homelabbers die TBs aan data uploaden, dan zijn wat klantgegevens niks.

Accretion @timeraider • 7 mei 2026 07:30

Ja, maar als je dit thuis doet is het natuurlijk ook weer makkelijker te achterhalen.

Nederland
Privacy

@Cashew • 7 mei 2026 10:10

Tot voor kort was opslag enorm goedkoop en veel admin data is gewoon tekst. Dus neemt bijna geen ruimte in. multimedia zijn de grote ruimte vreters. Maar een admininstratie? Die kan je in veel gevallen op een usb stickje kwijt.

Anonymoussaurus 6 mei 2026 20:39

Het gaat wel om meer dan alleen die universiteiten:

Hogeschool Utrecht, het Grafisch Lyceum in Rotterdam en Haarlem, Hogeschool Windesheim, de Erasmus Universiteit, de Vrije Universiteit Amsterdam, de Universiteit Maastricht, de Universiteit Twente, Tilburg University en de Universiteit van Amsterdam.

Ik lijk er helaas zelf ook bij te zitten... Maar ach, what's new? Bij Basic-Fit zat ik ook al, ook door ShinyHunters.

Het is geen kwestie meer van of, maar wanneer.

[Reactie gewijzigd door Anonymoussaurus op 6 mei 2026 20:39]

Komadi @Anonymoussaurus • 6 mei 2026 20:56

Die lijst klopt niet. Hogeschool Windesheim maakt namelijk geen gebruik van Canvas en heeft dat ook nooit gedaan.

Anonymoussaurus @Komadi • 6 mei 2026 20:57

Tja, dan heeft ShinyHunters dat zelf fout verkondigd: https://www.telegraaf.nl/lifestyle/tech/gegevens-van-duizenden-nederlandse-studenten-gestolen-hackersbende-shinyhunters-chanteert-scholen/151143241.html. Lijkt mij niet dat ze dat verzinnen als de school zelf donderdsgoed weet dat ze geen Canvas gebruiken.

Komadi @Anonymoussaurus • 6 mei 2026 21:03

Dit is het statement van Windesheim op de interne nieuwssite:

Afgelopen maandag 4 mei maakte hackersgroep ShinyHunters bekend dat zij persoonsgegevens hebben gestolen bij een hackaanval op de onderwijssoftware Canvas. Helaas is onterecht in het nieuws gekomen dat hogeschool Windesheim op de lijst van getroffen onderwijsinstellingen staat.

Windesheim maakt geen gebruik van Canvas en gebruikt al geruime tijd Brightspace als digitale leeromgeving. We weten niet hoe wij op deze lijst zijn terecht zijn gekomen en hebben de pers die hierover anders berichtte, gevraagd dit te corrigeren.

Anonymoussaurus @Komadi • 6 mei 2026 21:05

Interessant. Wel geinig dat ze dan de pers gaan benaderen terwijl het dus ShinyHunters zelf lijkt die ze op de lijst heeft gezet.

ComputerGekkie @Anonymoussaurus • 6 mei 2026 21:21

Ja, maar ShinyHunters gaat niet weer tegen de pers zeggen “oopsie floopsie, Windesheim hoort er niet op!”. Dan is direct de pers benaderen sneller.

Anonymoussaurus @ComputerGekkie • 6 mei 2026 21:22

Dan moeten ze dat verduidelijken en niet de pers de schuld geven.

Sitethief @Anonymoussaurus • 7 mei 2026 08:33

Jij vind het geen probleem dat de pers klakkeloos informatie overneemt van criminelen zonder die informatie te controleren?

Mellow Jack @Anonymoussaurus • 6 mei 2026 21:02

Best mogelijk dat systemen gegevens uitwisselen. Als deze dataset email adressen bevat en ze de domeinen hebben geteld zal je redelijk wat kruisbestuiving hebben

R_Zwart @Anonymoussaurus • 6 mei 2026 21:17

Je zou kunnen zeggen dat de data op een gegeven moment niets meer waard is als het gejat en gepubliceerd wordt.

Cor001 @Anonymoussaurus • 6 mei 2026 21:01

Windesheim weet van niets vernam ik vanmiddag.

themaxxxx @Cor001 • 6 mei 2026 22:35

Windesheim maakt ook geen gebruik van Canvas, maar van Brightspace

familyman @Cor001 • 6 mei 2026 21:18

Ze hebben in hun systemen gekeken en zagen niets 😉

GameNympho @Cor001 • 6 mei 2026 21:19

Dat zeg ik ook altijd

@Anonymoussaurus • 6 mei 2026 20:54

Ha!
Als je het zo bekijkt hoef je jouw inderdaad niet druk te maken.

ShinyHunters zullen ook wel balen. Verdorie! Die hadden we al gepakt! Al dat werk voor niets!

Daar gaat iemand op z'n donder krijgen!

S.McDuck @Anonymoussaurus • 6 mei 2026 21:57

Ik denk dat mijn gegevens inmiddels geld kosten ipv opleveren zovaak hebben bedrijven mijn gegevens al gelekt

Dodge-Charger @Anonymoussaurus • 7 mei 2026 09:25

Ook het Grafisch Lyceum Rotterdam maakt (nog) geen gebruik van Canvas,, ze zijn dus ook niet betrokken bij de datalek van Canvas

telenut 7 mei 2026 09:56

Dit staat momenteel op de site van SHinyhunters:
Entire list of affected schools by Instructure breach

The download button below is a list of affected schools by the Instructure Canvas LMS data breach. If any of the schools in the file are interested in preventing the release of their data please consult with a cyber advisory firm and contact us privately at TOX to negociate a settlement. You have till the end of the day by 7 May 2026 before everything is leaked and there will be no chance at a negociation for anyone.

Instructure has not even bothered speaking to us to understand the situation or to even negociate with us to prevent the release of this data. Our demand was not even as high as you might think it is. The Company seemingly does not care about all the students affected and the institutions impacted by this data breach. They still have by 6 May 2026 to come speak with us. There is no better option but to come to an agreement with us. Not paying will only worsen the situation rather than resolving it.

MegaFan2k @telenut • 7 mei 2026 12:31

Nog geen updates? De eerste deadine was immers 6 mei

vreakz @MegaFan2k • 7 mei 2026 15:19

Er is uitstel omdat instellingen aankloppen bij SH. Zij hebben de deadline nu op 12 mei staan.

Nederland
Privacy

@telenut • 7 mei 2026 10:15

Ze doen een beetje alsof ze slachtoffer zijn van onwelwillende bedrijven die niet betalen. Er zijn mensen die dat geloven omdat ze zelf al boos zijn op alle bedrijven, maar iemand die goed bij zijn hoofd is kijkt er zo doorheen. Hoog of laag, niemand moet die figuren ook maar een cent geven.

Een bedrijf (in het algemeen) kan prima om studenten (klanten geven) en tegelijk slachtoffer zijn en criminelen geen geld geven.

Not paying will only worsen the situation rather than resolving it.

fuck that. Paying will only worsen the situation and it will not resolve anything. You cannot trust criminals.

telenut 7 mei 2026 10:24

Hogeschool Gent en Howest zitten er ook tussen

Smokeyy_TR 8 mei 2026 01:20

Ik kan niet meer op Canvas komen, er is een storing op dit moment waarbij ik een scherm te zien krijg dat de criminelen losgeld eisen aan diverse scholen.

Marber 7 mei 2026 14:37

Ook studenten en docenten van instellingen die geen Canvas gebruiken zullen zijn geraakt door dit datalek. Er wordt enorm veel uitgewisseld tussen de verschillende instellingen en studenten/docunten kunnen daarbij hun eigen account gebruiken.

Dus was bijv. Windesheim zegt klopt niet helemaal. Er zullen zeker studenten en docenten in de dataset zitten met hun windesheim-account.

Om te kunnen reageren moet je ingelogd zijn