Criminelen nemen kort Canvas-omgevingen universiteiten over na 'tweede hack'

De Canvas-omgevingen van meerdere onderwijsinstellingen toonden gisteren kort een boodschap van de ransomwarebende ShinyHunters. Daaruit zou blijken dat Instructure, het moederbedrijf van Canvas, opnieuw gehackt is. Inmiddels verwijzen veel sites van getroffen organisaties naar een onderhoudspagina.

Na de recente cyberaanval op Instructure zouden er maatregelen getroffen zijn en moest onderwijssoftware Canvas weer 'volledig operationeel' zijn. De boodschap van de criminelen lijkt er echter op te wijzen dat de beveiligingsupdates niet het gewenste effect hebben gehad.

Boodschap in app

De boodschap van de criminelen was gisteravond in verschillende omgevingen zichtbaar, waaronder in de Canvas-app en op de Canvas-portalen van websites van getroffen scholen. Onder meer de betreffende website van de Vrije Universiteit Amsterdam toonde het bericht, aldus BNR.

Kort na berichten over de boodschap zou Instructure Canvas offline hebben gehaald. Op de statuspagina van de software zegt het bedrijf dat de dienst tijdelijk in 'onderhoudsmodus' geplaatst is. Hierdoor is de boodschap van de cybercriminelen niet meer zichtbaar. Volgens een recente update zou de software voor de meeste gebruikers weer moeten werken.

Vermoedelijk gaat het niet om een 'tweede cyberaanval', zoals de bende claimt, maar een bewijs dat ze nog steeds toegang heeft tot de infrastructuur van het getroffen Amerikaanse bedrijf. In de boodschap roepen de criminelen Instructure op om te onderhandelen over losgeld. Ze claimen dat het bedrijf nog geen contact heeft opgenomen.

Canvas-hack in het kort

Bij de recente cyberaanval op Instructure zijn via de onderwijssoftware Canvas wereldwijd duizenden scholen en universiteiten binnengedrongen. Daarbij zijn persoonsgegevens van studenten en docenten gestolen. Ook in Nederland en België zijn veel onderwijsinstellingen getroffen. De bende was eerder verantwoordelijk voor het grootschalige Odido-datalek en de aanval op ChipSoft.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Yannick Spinner

Redacteur

Feedback • 08-05-2026 08:13
39 • submitter: joelsoep

08-05-2026 • 08:13

Submitter: joelsoep

Lees meer

Onderwijsinstellingen Nederland en België waarschuwen studenten na Canvas-hack

Onderwijsinstellingen Nederland en België waarschuwen studenten na Canvas-hack Nieuws van 6 mei 2026

Dieven stelen privédata van studenten en docenten via onderwijssoftware Canvas

Dieven stelen privédata van studenten en docenten via onderwijssoftware Canvas Nieuws van 4 mei 2026

Beveiliging en antivirus Canvas Cybercrime Hack Hackers ShinyHunters Universiteit

Reacties (39)

39

39

13

0

0

18

Wijzig sortering

theduke1989 8 mei 2026 08:21

Mocht het echt zo zijn dat als je betaald en ze nooit meer wat doen of iets achtergelaten hebben. Zou ik zeggen betaal die handel. En je systemen zijn up-and-running.

Maar je weet het nooit met dit soort tuig. Dus ja proberen te patchen etc is dan je eenigste hoop. Ziet natuurlijk wanhopig uit want het is te laat.

Wij hebben elke week minstens twee keer vulnerability meetings. Bespreken de Rapid7 scores en welke assets in de problemen zijn. En hebben dan 2-3 dagen de tijd om de patches te installeren op Linux als Windows via EPC. En daar tussen komt secops wanneer er CVE breaches zijn direct met emails om het te patchen.

Maar we zijn altijd nog kwetsbaar betreft phishing. Dit doen elke week meerdere keren. Om mensen echt op de hoogte te houden.

Security is echt een ding geworden. Waar vroeger 2 man werkte. Is het nu 5-6.

bzuidgeest @theduke1989 • 8 mei 2026 08:44

Zelfs als ze echt nooit meer wat doen, NOOIT betalen in mijn opinie. Misdaad mag gewoon niet lonen.

En ook in dit geval, laat ze de data maar lekken. Er zit niets bijzonders in. Het is een cursus platform niet meer. Een cursus platform waarvan ik nu denk dat de infra net zo maf zal zijn als de UI onvriendelijk en vreemd. Maar niettemin gewoon een cursus platform. Er overlijd niemand als dat gepubliceerd word.

De beste manier om te zorgen dat dit soort hacks niet verder groeien is ze financieel onaantrekkelijk maken.

Ik geef instructure dan ook 100% gelijk om geen contact op te nemen.

Heroic_Nonsense

@bzuidgeest • 8 mei 2026 09:23

Het verschilt natuurlijk wel van bedrijf tot bedrijf.

Wie welke cursus volgt is wellicht niet zo gevoelig, maar de data die bijvoorbeeld uit de Chipsoft-hack kwam is al een stuk gevoeliger. Als een bedrijf dan vertikt om te betalen, worden onschuldige burgers opgezadeld met de gevolgen (het zijn eigenlijk hún gegevens die op straat komen te liggen).

Als je het bij wet verbiedt om losgeld te betalen, zet je een bedrijf als Chipsoft met de rug tegen de muur - ze kunnen dan niet meer voorkomen dat de data wordt gepubliceerd.

Naar de hackers wijzen als schuldige is goed en wel, maar die zitten veilig in een land waar wij ze niet kunnen aanraken.

Zeggen dat het getroffen bedrijf zijn beveiliging beter op orde had moeten hebben, zet ook niet zoveel zoden aan de dijk - als je als bedrijf wordt gehackt is dat vrijwel altijd via social engineering of een zero day (of een combinatie van beiden).

Zeggen dat bedrijven aan "hardening" moeten doen om social engineering uit te sluiten als aanvalsvector, is echt wishful thinking. Ongeacht hoeveel training, testmailtjes of intranetblogposts je er tegenaan gooit, mensen blijven zwakke wezens die gevoelig zijn voor dit soort zaken.

Is er dan helemaal niets tegen te doen?

Zeker wel. Stop maar eens met dat soort data in de cloud te zetten. Dat maakt het een stuk minder eenvoudig om het te stelen.

bzuidgeest @Heroic_Nonsense • 8 mei 2026 09:31

Ik wil dat soort data in de cloud. Ik wil niet dat mijn medische data terug gaat op foutgevoelig papier dat wel eens verloren zou kunnen worden of niet goed doorgegeven of niet beschikbaar is waar het nodig is.

Dan liever een hack en een lek.

De cloud is gewoon een feit en alle andere methoden hebben ook problemen en ook daarmee werd data verloren. De hoeveelheid lekken per usb stick was wat jaren geleden ook een ding.

En ja, ik vind dat ook chipsoft niet moet betalen. Misdaad mag niet lonen, anders houd het niet op.

Dat is wat je er tegen kan doen. Niet zo zielig doen over die gegevens, zelfs je medische en ze hun geld ontzeggen. Als dat die criminelen aanpakt dan gaat het maar online. Dat is pas Heroic.

Speedpete @bzuidgeest • 8 mei 2026 09:58

Betalen ze niet, dan zoeken ze een andere weg om te verdienen aan de gegevens en gaat het niet meer 'zomaar' volledig online.

Neem het Chipsoft-lek, als daarin data staat over een behandeling voor een SOA en je krijgt een bericht van de hackers "Hoi Piet, we weten dat je bij bedrijf X werkt, voor 100 euro wissen we de data over je SOA en anders mailen we het naar al je collega's", dan is de kans dat Piet die 100 euro neertelt groot.

En ook als alle slachtoffers collectief besluiten niet te betalen zijn er heus partijen die dergelijke data ernstig interessant vinden.

De oplossing is tweeledig, naast het proberen de hackende partijen beter aan te pakken moet ook goed nagegaan worden of data daadwerkelijk zo makkelijk online beschikbaar moet zijn. En nee, dat betekent niet dat alles maar weer op papier moet. Afgeschermde systemen kunnen ook een prima oplossing zijn. De zorgsector kan een 'eigen netwerk' opzetten of uitwisseling tussen niet-verbonden systemen kan gestroomlijnd worden. Er zijn legio technische oplossingen maar te vaak is de route "het is zo handig dat ik via een browser overal bij ons systeem kan" leidend.

DdeM @Heroic_Nonsense • 8 mei 2026 09:45

Juist die extra gevoelige gegevens zijn veel interessanter voor criminelen om te bewaren voor double extortion, dus ook dan is betalen een slecht idee.

Wat je kan doen als bedrijf is risico minimaliseren, door juist dat te doen waarvan jij zegt dat het niet veel zoden aan de dijk zet. Zorg er juist voor dat alles wat je qua beveiliging kan doen op orde is en doe aan "hardening" om de kans op social engineering te verkleinen. Uitsluiten kan je niet, maar risico minimaliseren wel.

renecl @theduke1989 • 8 mei 2026 08:24

Ja en zelfs de phishing wordt steeds vervelender en echter. En is eigenlijk niet meer houdbaar.

Luchtbakker @theduke1989 • 8 mei 2026 08:30

Mocht het echt zo zijn dat als je betaald en ze nooit meer wat doen of iets achtergelaten hebben. Zou ik zeggen betaal die handel. En je systemen zijn up-and-running.

Maar je weet het nooit met dit soort tuig. Dus ja proberen te patchen etc is dan je eenigste hoop. Ziet natuurlijk wanhopig uit want het is te laat.

Ook al was die garantie er, gewoon simpelweg niet betalen. Als we maar blijven betalen aan ze, is dat exact de beweegredenen om door te gaan en bedrijven af te persen. Dus nee, dit wil je gewoon niet.

Wat mij betreft wordt het betalen aan dit soort gasten per wet verboden.

TimVerified 8 mei 2026 08:23

Ik hoor wel erg veel Shiny Hunters de laatste tijd. Is het dan echt zo lastig dit soort groepen te tracken en op te pakken?

djexplo @TimVerified • 8 mei 2026 08:36

Tussen 2022 en 2025 zijn meerdere (vermeende) leden gearresteerd, in Marokko, de VS en een aantal in Frankrijk (Wikipedia).
Wikipedia laatse zin is "not the ring leader, as they are still active". Wat dus aaangeeft dat de leden verspreid zitten over de wereld wat het complex maakt, maar dat er misschien ook wel een cellen of ringen structuur is. Waarbij het dus niet een groot groep is, maar heel veel losse sub groepjes die samenwerken, en de meeste mensen maar een paar andere mensen in de groep kennen.

RSH @djexplo • 8 mei 2026 08:48

Gaat wat off-topic, maar ring leader is een gebruikelijke term voor leider van een (criminele) groep, en wordt niet gebruikt om de structuur van die groep te omschrijven.

Beveiliging en antivirus
Hack
Hackers

@TimVerified • 8 mei 2026 08:33

Ik hoor wel erg veel Shiny Hunters de laatste tijd. Is het dan echt zo lastig dit soort groepen te tracken en op te pakken?

ShinyHunters gebruikt Tor voor communicatie en gebruikt op het reguliere internet servers die niet naar hen terug te herleiden zijn. Voor het ontvangen van betalingen gebruiken ze cryptocurrency. Mits ShinyHunters goede discipline toepast, kunnen ze dit een tijd volhouden.

Het kan ook zijn dat hoger management vanuit een land opereert waar andere landen geen invloed op hebben. Zolang een dergelijk land niet zelf aangevallen wordt, is er een extra beschermingslaag voor als toch identiteiten van organisatieleden bekend worden bij autoriteiten. Dan is het wel zaak om internationaal reizen te vermijden of om een nieuwe identiteit te nemen.

[Reactie gewijzigd door The Zep Man op 8 mei 2026 09:37]

willieverhoef @The Zep Man • 8 mei 2026 09:06

Dus als oplossing hosting en betaling met cryptocurrency verbieden? Persoonlijk zie ik geen legale reden voor dit soort betalingen. Actie groeperingen kunnen ook prima betalen met een account in een bevriend land.

Beveiliging en antivirus
Hack
Hackers

@willieverhoef • 8 mei 2026 09:20

Dus als oplossing hosting en betaling met cryptocurrency verbieden?

Wie verbiedt wat waar onder welke autoriteit? Hoe voorkom je hosting vanuit landen die een dikke middelvinger geven over dit soort ideeën? Wie zegt dat ShinyHunters betaalt voor hun zichtbare servers op het internet? Dat kunnen ook gehackte servers zijn.

Een land heeft beperkt tot geen invloed op wat andere landen doen of niet doen. Een land heeft wel invloed op zichzelf. Een verbod op het financieren van criminele netwerken kan prima toegepast worden om aanvallen met als doel financieel belang te ontmoedigen.

[Reactie gewijzigd door The Zep Man op 8 mei 2026 09:27]

Nozzit @TimVerified • 8 mei 2026 08:26

Ja, ik verbaas me daar ook over.

bzuidgeest @TimVerified • 8 mei 2026 08:46

Ja, je gaat er van uit dat het een kantoor ergens is. Maar dit is gewoon een groep verspreid over heel de wereld.

MoBi 8 mei 2026 08:55

De vermelding van Canvas is verdwenen van de Shinyhunters website, er lijkt dus betaald te zijn.

mrtl @MoBi • 8 mei 2026 09:12

Ik zie het document (waarvan Tweakers de verwijzing naar uit het plaatje heeft gehaald

) ook niet meer nee. Hier dus.

kabouter428 8 mei 2026 08:57

Hier op universiteit zegt canvas nog mooi dikke doei. Wel prettig dat we nu extra tijd hebben voor de opdracht. Maar van de andere Kant is het gewoon heel ... Kan niet meer bij data van de colleges en de benodigde data sets. Ik hoop dat ze snel weer online Komen maar ik heb zo'n idee dat het wel even gaat duren.

renecl 8 mei 2026 08:28

We moeten ook af dat we alles maar aan het internet willen hangen. Ja het is makkelijk, dat wel, maar is het echt wel nodig?

Vexxon @renecl • 8 mei 2026 08:37

Yes, bring back the postduif!

renecl @Vexxon • 8 mei 2026 08:38

Die kunnen ze natuurlijk ook weer onderscheppen met netjes ;-)

zerothe2nd @renecl • 8 mei 2026 09:57

Tegenwoordig gewoon met drones midden uit de lucht

bzuidgeest @renecl • 8 mei 2026 08:49

Ja, het internet is 100x vriendelijker voor de natuur in veel opzichten. Als al het cursus materiaal in canvas staat hoeft het niet afgedrukt te worden, keer op keer om na nakijken weggegooid te worden. Email? voorkomt zo veel post. Aanvraag voor subsidie of steun? Gewoon online en min of meer automatisch.

Voor zoveel dingen wil je echt niet terug naar pen en papier.

En dan dingen als remote beveiliging, camera's etc ..

Je kan je net zo goed afvragen of wapens wel echt nodig zijn omdat mensen elkaar doden ermee. Of auto's wel nodig zijn want je kan ook lopen en sjouwen.

leendt @bzuidgeest • 8 mei 2026 09:23

Er zit ook nog iets tussen papier en alles bij elkaar zetten op een datacenter van een derde partij ('cloud').

Vroeger hadden dit soort hacks niet de waarde die ze nu hebben. Dan had je toegang tot één school. Nu heb je in één keer toegang tot de complete, geordende data van heel veel scholen.

bzuidgeest @leendt • 8 mei 2026 09:33

Maar als alle scholen dezelfde software draaien hebben ze ook dezelfde zwakheid. Dus kunnen ze allemaal in 1 keer gehacked worden. Het is iets meer werk voor de criminelen, maar het veranderd weinig.

DdeM @bzuidgeest • 8 mei 2026 10:01

Niet helemaal mee eens. Als dit via social engineering is gegaan hebben niet alle scholen dezelfde persoon om te overtuigen, dus in die zin niet dezelfde zwakheid. Ging het (mede) via bugs die al opgelost zijn \*kuch\* Odido \*kuch\* dan zal dat ook niet bij elk bedrijf issues opleveren omdat sommige (hopelijk de meeste) een fatsoenlijk patch beleid hebben. Dan hou je eigenlijk de zero days over. Dus meer in premise kan de veiligheid voor de meerderheid echt wel verhogen. Hiervoor hoeft het trouwens niet in zijn geheel in premise te draaien, als het maar op een eigen cloud staat ipv alle gegevens van alle scholen in dezelfde cloud. Het is niet alsof je dat als bedrijf zijnde niet kan aanbieden, ik heb vaak genoeg saas diensten van 3e partijen in een eigen Azure omgeving gezet bijvoorbeeld waarbij huneen toegang konden krijgen wanneer iemand aan onze kant expliciet toestemming geeft.

pauldebra @renecl • 8 mei 2026 08:58

Voor on-line diensten is het natuurlijk nodig om een "front-end" on-line te hebben. Maar je kan de scheiding tussen front- en back-end in veel gevallen veel strikter maken. En data die bij sommige hacks gestolen blijken te zijn (uitgebreide persoonsgegevens, klant-data van jaren geleden...) hoeven helemaal niet on-line te staan. Die kunnen via een speciaal protocol periodiek even toegankelijk zijn om te updaten, maar hoeven verder nooit via Internet te benaderen te zijn.
Daarnaast is het houden van off-line backups ook belangrijk. En schaduw-servers draaiend houden die off-line zijn en periodiek gecontroleerde updates krijgen... het kan allemaal. Ik heb thuis ook een server draaien en een tweede machine als backup uit-staan behalve wanneer ik van de on-line server een backup van data maak naar de off-line server. Daarbij wordt alleen passieve data gekopieerd en geen software. En dat is allemaal nog maar op een (op wereldschaal bekeken) onbelangrijk servertje...

DefaultError 8 mei 2026 08:42

We ontkomen niet aan een ‘next level’ van beveiligen.

sapphire @DefaultError • 8 mei 2026 09:22

Ik vraag me af of het ‘next level’ is of eindelijk noodzaak komt om het gewoon fatsoenlijk te doen ipv halfbakken ‘want het is toch niet nodig’.

Wat je vaak ziet is dat security het ondergeschoven kindje was want kost geld en voegt niets toe aan de operatie, of nog erger het verlaagd de productiviteit zelfs iets.

Nu word gewoon duidelijk dat als je je zaken niet op orde hebt de kans reeël is dat het hele bedrijf plat gaat (ransomware) of al je bedrijfsdata op straat komt te liggen.

Raymond Deen 8 mei 2026 08:49

Saas wordt nu ondertussen wel een keertje extra goed over gedacht, denk ik zo.

Op de één of andere manier lijken die systemen allemaal zodanig opgezet dat data van klanten blijkbaar volledig toegankelijk is voor de aanbieders en dat kan toch niet de bedoeling zijn?

Of is dat zo door wetgeving? Moeten deze aanbieders volledige toegang geven zodra een overheidsorgaan die verzoekt? Dat kan ik me niet goed voorstellen, want er zijn ook clubs die dit wél goed geregeld hebben door toegangsrechten en encryptie consequent toe te passen.

rko4u 8 mei 2026 08:53

Feit is dat al deze systemen dus van het internet moeten worden getrokken om dit soort criminele organisaties de kop in te drukken. Ook al gooien ze de data naar betaling weg, morgen zitten ze weer in het systeem. Tijd om terug te gaan naar van het internet afgesloten on premise oplossingen ben ik bang. Je bedrijf open zetten op internet is niet veilig.

DdeM @rko4u • 8 mei 2026 10:06

Hoeft niet van het internet af, hoeft zelfs niet on premises, maar de data beter segregeren kan wel. Genoeg saas diensten waar elk bedrijf zijn eigen cloud omgeving heeft waar de aanbieder alleen met expliciete toestemming toegang krijgt. Dan hadden de hackers in dit geval nadat ze in canvas waren gekomen nog per school social engineering moeten toepassen om er in te komen. On premises geeft dan welicht nog meer veiligheid, maar segregatie zou al veel schelen.

Michiel36 8 mei 2026 09:10

Zon groep als deze laat ook zien hoe onverantwoord het is om maar gewoon llm's met programmeer skills op de mensheid te dumpen. Niet dat het deze groep ge-enabled heeft (geen idee?), maar wel dat je niet zomaar iedereen een sleutel kan geven zonder eerst de sloten te upgraden en dan geen slechte uitkomst kan verwachten. Natuurlijk gebruikt niet iedereen het, maar een steeds grotere groep wel.

Savantas 8 mei 2026 09:18

Het lijkt me meer een probleem dat er (weer een Amerikaanse) leverancier door iedereen gebruikt wordt. Ook hier zouden meer, liefst open source, pakketten gebruikt moeten worden die niet bij/door één toko gehost wordt, maar gewoon per universiteit/hogeschool/... en alleen via eigen infrastructuur en VPN te gebruiken is. Pakketten als Moodle zijn zo uit te rollen. Ook hier mag Surfnet hard mee aan de gang gaan, en dan centraal, zodat er ook vanuit Surfnet algemene Nederlandse ondersteuning gegeven kan worden (om meteen op die manier het heikele punt van ondersteuning van open source software te tackelen).

Om te kunnen reageren moet je ingelogd zijn