Criminelen nemen kort Canvas-omgevingen universiteiten over na 'tweede hack'

De Canvas-omgevingen van meerdere onderwijsinstellingen toonden gisteren kort een boodschap van de ransomwarebende ShinyHunters. Daaruit zou blijken dat Instructure, het moederbedrijf van Canvas, opnieuw gehackt is. Inmiddels verwijzen veel sites van getroffen organisaties naar een onderhoudspagina.

Shinyhunters Instructure CanvasNa de recente cyberaanval op Instructure zouden er maatregelen getroffen zijn en moest onderwijssoftware Canvas weer 'volledig operationeel' zijn. De boodschap van de criminelen lijkt er echter op te wijzen dat de beveiligingsupdates niet het gewenste effect hebben gehad.

Boodschap in app

De boodschap van de criminelen was gisteravond in verschillende omgevingen zichtbaar, waaronder in de Canvas-app en op de Canvas-portalen van websites van getroffen scholen. Onder meer de betreffende website van de Vrije Universiteit Amsterdam toonde het bericht, aldus BNR.

Kort na berichten over de boodschap zou Instructure Canvas offline hebben gehaald. Op de statuspagina van de software zegt het bedrijf dat de dienst tijdelijk in 'onderhoudsmodus' geplaatst is. Hierdoor is de boodschap van de cybercriminelen niet meer zichtbaar. Volgens een recente update zou de software voor de meeste gebruikers weer moeten werken.

Vermoedelijk gaat het niet om een 'tweede cyberaanval', zoals de bende claimt, maar een bewijs dat ze nog steeds toegang heeft tot de infrastructuur van het getroffen Amerikaanse bedrijf. In de boodschap roepen de criminelen Instructure op om te onderhandelen over losgeld. Ze claimen dat het bedrijf nog geen contact heeft opgenomen.

Canvas-hack in het kort

Bij de recente cyberaanval op Instructure zijn via de onderwijssoftware Canvas wereldwijd duizenden scholen en universiteiten binnengedrongen. Daarbij zijn persoonsgegevens van studenten en docenten gestolen. Ook in Nederland en België zijn veel onderwijsinstellingen getroffen. De bende was eerder verantwoordelijk voor het grootschalige Odido-datalek en de aanval op Rockstar Games.

Door Yannick Spinner

Redacteur

Feedback • 08-05-2026 08:13
90 • submitter: joelsoep

08-05-2026 • 08:13

90

Submitter: joelsoep

Lees meer

Onderwijsplatform Canvas sluit deal met hackersgroep, 'data is verwijderd'
Onderwijsplatform Canvas sluit deal met hackersgroep, 'data is verwijderd' Nieuws van 12 mei 2026
Cyberaanval op Canvas ontregelt onderwijs bij Nederlandse universiteiten
Cyberaanval op Canvas ontregelt onderwijs bij Nederlandse universiteiten Nieuws van 11 mei 2026
'Universiteiten benaderen ShinyHunters om datalek na Canvas-hack te voorkomen'
'Universiteiten benaderen ShinyHunters om datalek na Canvas-hack te voorkomen' Nieuws van 10 mei 2026
Onderwijsinstellingen Nederland en België waarschuwen studenten na Canvas-hack
Onderwijsinstellingen Nederland en België waarschuwen studenten na Canvas-hack Nieuws van 6 mei 2026
Dieven stelen privédata van studenten en docenten via onderwijssoftware Canvas
Dieven stelen privédata van studenten en docenten via onderwijssoftware Canvas Nieuws van 4 mei 2026
Meer producten en artikelen
Beveiliging en antivirus Canvas Cybercrime Hack Hackers ShinyHunters Universiteit

Reacties (90)

-Moderatie-faq
90
90
22
0
0
52
Wijzig sortering

Sorteer op:

Weergave:
theduke1989 8 mei 2026 08:21
Mocht het echt zo zijn dat als je betaald en ze nooit meer wat doen of iets achtergelaten hebben. Zou ik zeggen betaal die handel. En je systemen zijn up-and-running.

Maar je weet het nooit met dit soort tuig. Dus ja proberen te patchen etc is dan je eenigste hoop. Ziet natuurlijk wanhopig uit want het is te laat.

Wij hebben elke week minstens twee keer vulnerability meetings. Bespreken de Rapid7 scores en welke assets in de problemen zijn. En hebben dan 2-3 dagen de tijd om de patches te installeren op Linux als Windows via EPC. En daar tussen komt secops wanneer er CVE breaches zijn direct met emails om het te patchen.

Maar we zijn altijd nog kwetsbaar betreft phishing. Dit doen elke week meerdere keren. Om mensen echt op de hoogte te houden.

Security is echt een ding geworden. Waar vroeger 2 man werkte. Is het nu 5-6.
Reageer
bzuidgeest
@theduke19898 mei 2026 08:44
Zelfs als ze echt nooit meer wat doen, NOOIT betalen in mijn opinie. Misdaad mag gewoon niet lonen.

En ook in dit geval, laat ze de data maar lekken. Er zit niets bijzonders in. Het is een cursus platform niet meer. Een cursus platform waarvan ik nu denk dat de infra net zo maf zal zijn als de UI onvriendelijk en vreemd. Maar niettemin gewoon een cursus platform. Er overlijd niemand als dat gepubliceerd word.

De beste manier om te zorgen dat dit soort hacks niet verder groeien is ze financieel onaantrekkelijk maken.

Ik geef instructure dan ook 100% gelijk om geen contact op te nemen.
Reageer
Heroic_Nonsense @bzuidgeest8 mei 2026 09:23
Het verschilt natuurlijk wel van bedrijf tot bedrijf.

Wie welke cursus volgt is wellicht niet zo gevoelig, maar de data die bijvoorbeeld uit de Chipsoft-hack kwam is al een stuk gevoeliger. Als een bedrijf dan vertikt om te betalen, worden onschuldige burgers opgezadeld met de gevolgen (het zijn eigenlijk hún gegevens die op straat komen te liggen).

Als je het bij wet verbiedt om losgeld te betalen, zet je een bedrijf als Chipsoft met de rug tegen de muur - ze kunnen dan niet meer voorkomen dat de data wordt gepubliceerd.

Naar de hackers wijzen als schuldige is goed en wel, maar die zitten veilig in een land waar wij ze niet kunnen aanraken.

Zeggen dat het getroffen bedrijf zijn beveiliging beter op orde had moeten hebben, zet ook niet zoveel zoden aan de dijk - als je als bedrijf wordt gehackt is dat vrijwel altijd via social engineering of een zero day (of een combinatie van beiden).

Zeggen dat bedrijven aan "hardening" moeten doen om social engineering uit te sluiten als aanvalsvector, is echt wishful thinking. Ongeacht hoeveel training, testmailtjes of intranetblogposts je er tegenaan gooit, mensen blijven zwakke wezens die gevoelig zijn voor dit soort zaken.

Is er dan helemaal niets tegen te doen?

Zeker wel. Stop maar eens met dat soort data in de cloud te zetten. Dat maakt het een stuk minder eenvoudig om het te stelen.
Reageer
bzuidgeest
@Heroic_Nonsense8 mei 2026 09:31
Ik wil dat soort data in de cloud. Ik wil niet dat mijn medische data terug gaat op foutgevoelig papier dat wel eens verloren zou kunnen worden of niet goed doorgegeven of niet beschikbaar is waar het nodig is.

Dan liever een hack en een lek.

De cloud is gewoon een feit en alle andere methoden hebben ook problemen en ook daarmee werd data verloren. De hoeveelheid lekken per usb stick was wat jaren geleden ook een ding.

En ja, ik vind dat ook chipsoft niet moet betalen. Misdaad mag niet lonen, anders houd het niet op.

Dat is wat je er tegen kan doen. Niet zo zielig doen over die gegevens, zelfs je medische en ze hun geld ontzeggen. Als dat die criminelen aanpakt dan gaat het maar online. Dat is pas Heroic.
Reageer
neversium @bzuidgeest8 mei 2026 11:08
Lekker makkelijk praten voor je. Stel, je woont in de VS en je ziekenhuisgegevens zijn gelekt; je hebt in het verleden kanker gehad en nu wil geen enkel bedrijf je meer aannemen omdat je een te groot risico vormt voor hun en hun collectieve zorgverzekering, omdat de kans nou eenmaal groot is dat je nogmaals een andere vorm van kanker oploopt.

Zo heb je nog tienduizenden andere scenario’s.
Reageer
nandervv @neversium8 mei 2026 11:42
En het gaat gewoon het amorphe AI-model in, zodat ze zich kunnen verschuilen achter: "Onze software heeft aangeraden om een andere persoon aan te nemen".
Het witwassen van gestolen en illegale gegevens is core business voor AI.
Reageer
bzuidgeest
@neversium8 mei 2026 13:52
Dat de VS shit is, is niet mijn probleem of de EU zijn probleem. Wij regelen onze zaken, zij de hunne. Wij hebben daar veel wetten voor. En bij verzekeringen ook. Als ook maar enigzins blijkt dat een verzekering data uit zo een set gebruikt gaan ze zo erg voor schut dat het niet meer normaal is.
Reageer
neversium @bzuidgeest8 mei 2026 13:55
En jij denkt dat dit niet in Nederland gebruikt wordt en dat dit steeds meer gebruikt zal worden? Bedrijven zullen hier ook niet snel in de problemen komen, want bewijs maar als sollicitant dat een bedrijf je niet heeft aangenomen omdat ze weten dat je in het verleden ziek bent geweest, een depressie hebt gehad of dat je 2 maanden terug een zwangerschapstest hebt aangeschaft bij de Albert Heijn.
Reageer
batjes @neversium8 mei 2026 16:38
Alsof dat uitmaakt, ik ben open en bloot soms zelfs met een glimlach toe afgewezen omdat ik te oud was, te jong was, geen vrouw was, niet lid was van religie X of Y. Ik ben zelfs een keer ergens niet aangenomen puur vanwege mijn achternaam (klein kutgehucht).

Niet dat ze een AI excuus nodig hebben.
Reageer
Heroic_Nonsense @bzuidgeest8 mei 2026 15:21
Dit gebeurt ook in Nederland.

Zo vergat mijn partner bij het afsluiten van een overlijdensrisicoverzekering aan te vinken dat ze ooit bij een cardioloog was geweest. Dat was namelijk in haar kindertijd (30 jaar terug op het moment dat dit speelde) en was ook nog eens loos alarm, dus heeft niet heel veel indruk gemaakt.

Toch wist de verzekeringsmaatschappij ons te vertellen dat mijn partner in haar jeugd ooit een bezoek aan een cardioloog heeft gebracht. En dit terwijl dat soort data niet inzichtelijk mag zijn voor de verzekeringsmaatschappij. Op de vraag hoe ze dit wisten, "hoefden ze geen antwoord te geven".

Dit soort dirty data doet al jaren de ronde op de markt, en wordt gewoon gebruikt door (onder andere) verzekeringsmaatschappijen. Ook al zullen ze het nooit toegeven.
Reageer
bzuidgeest
@Heroic_Nonsense8 mei 2026 15:44
En je hebt er geen punt van gemaakt? Moet jij weten, maar geen antwoord is bij mij meteen een aanklacht bij de authoriteiten die daar voor zijn.
Reageer
batjes @bzuidgeest8 mei 2026 16:40
Een aanklacht kun je wel doen, als je daar zelf geen tijd en moeite in gaat stoppen (die niet iedereen heeft), lopen die wegen vaker wel dan niet, gewoon dood.
Reageer
Speedpete @bzuidgeest8 mei 2026 09:58
Betalen ze niet, dan zoeken ze een andere weg om te verdienen aan de gegevens en gaat het niet meer 'zomaar' volledig online.

Neem het Chipsoft-lek, als daarin data staat over een behandeling voor een SOA en je krijgt een bericht van de hackers "Hoi Piet, we weten dat je bij bedrijf X werkt, voor 100 euro wissen we de data over je SOA en anders mailen we het naar al je collega's", dan is de kans dat Piet die 100 euro neertelt groot.

En ook als alle slachtoffers collectief besluiten niet te betalen zijn er heus partijen die dergelijke data ernstig interessant vinden.

De oplossing is tweeledig, naast het proberen de hackende partijen beter aan te pakken moet ook goed nagegaan worden of data daadwerkelijk zo makkelijk online beschikbaar moet zijn. En nee, dat betekent niet dat alles maar weer op papier moet. Afgeschermde systemen kunnen ook een prima oplossing zijn. De zorgsector kan een 'eigen netwerk' opzetten of uitwisseling tussen niet-verbonden systemen kan gestroomlijnd worden. Er zijn legio technische oplossingen maar te vaak is de route "het is zo handig dat ik via een browser overal bij ons systeem kan" leidend.
Reageer
bzuidgeest
@Speedpete8 mei 2026 13:51
Dat hangt op het idee dat het erg is dat je collega's weten dat je er een hebt. Gezien het percentage van de bevolking dat een SOA heeft is die kans toch wel groot. Word tijd dat mensen zich niet meer voor alles schamen. En als er wel iets van iedereen bekend is ben je ook niet echt bijzonder.


En ja de browser heeft echt voordelen. Maar ik accepteer je wens over een los ziekenhuis netwerk.
Reageer
Heroic_Nonsense @bzuidgeest8 mei 2026 14:54
Op papier is het andere uiterste - dat bedoelde ik natuurlijk niet.

Je kunt het ook lokaal hosten, de ouderwetse "on premise" oplossing, die niet van buitenaf te benaderen is. Dan de werkplekken van het open internet af (surfen in je pauze doe je maar op je telefoon).
Reageer
bzuidgeest
@Heroic_Nonsense8 mei 2026 16:20
Maar van buitenaf benaderbaar is juist een functie hier. Een platform als canvas doen leerlingen ook hun huiswerk vanaf halen. Beetje lastig als ze er alleen op school bijkunnen. Internet toegang is niet altijd omdat we het kunnen. Het heeft ook gewoon een nut in veel gevallen.

Thuiswerken of bij de klant binnen werken, huiswerk doen... Remote toegang is niet meer weg te denken en eigenlijk gewoon noodzakelijk geworden. Niet voor alles, maar voor veel.
Reageer
Heroic_Nonsense @bzuidgeest8 mei 2026 17:18
Dat deel is de frontend. De aanval waar we het hier over hebben is uitgevoerd op de backend.

Het is helemaal prima om een frontend naar klanten (in dit geval studenten) te hebben. Die zijn namelijk niet interessant voor groepen als Shinyhunters, omdat bij een succesvolle poging om toegang te krijgen, ze alleen bij de gegevens van die ene klant/student kunnen.

Wat veel interessanter is, is de backend waarop de developers van de leverancier van Canvas zelf op inloggen om hun werk te doen. Die accounts zijn doorgaans van een ander type dan de klanten/studenten en kunnen veel eenvoudige omgekat worden naar iets dat de hackers kunnen gebruiken om veel data te benaderen.

Omdat ook die backend een webapplicatie is, staat dat dus open richting het openbare internet, en is daarmee toegankelijk voor iedereen die een internetverbinding heeft. Je hoeft alleen maar het juiste "digitale pasje" bij de voordeur te laten zien om binnen te komen.

Had die backend niet open gestaan richting het internet, dan was deze aanval een stuk moeilijker en misschien wel onmogelijk geweest.
Reageer
DdeM @Heroic_Nonsense8 mei 2026 09:45
Juist die extra gevoelige gegevens zijn veel interessanter voor criminelen om te bewaren voor double extortion, dus ook dan is betalen een slecht idee.

Wat je kan doen als bedrijf is risico minimaliseren, door juist dat te doen waarvan jij zegt dat het niet veel zoden aan de dijk zet. Zorg er juist voor dat alles wat je qua beveiliging kan doen op orde is en doe aan "hardening" om de kans op social engineering te verkleinen. Uitsluiten kan je niet, maar risico minimaliseren wel.
Reageer
Heroic_Nonsense @DdeM8 mei 2026 14:52
Ho even - ik zeg niet dat die maatregelen geen zoden aan de dijk zetten. Ik zeg dat het beschuldigen van de getroffen bedrijven geen zoden aan de dijk zet, omdat het vrijwel niet te voorkomen is.

Maar veel reacties op dit soort nieuwsberichten, zijn van het kaliber "de hackers zijn de schuldige dus pak die aan en betaal vooral niet!", en "het getroffen bedrijf had zijn beveiliging beter op orde moeten hebben" en "het bedrijf had waarschijnlijk meer moeten doen om social engineering uit te sluiten als aanvalsvector".

Dat doen de meeste bedrijven al, en ik ben er van overtuigd dat Chipsoft en Canvas dat ook doen. Maar de mensen die bij de bedrijven werken, kunnen niet 100% van hun tijd alert zijn op social engineering en phishing, en tegen zeroday vulnerabilities doe je ook niet zo heel veel.

Om er maar een een analogie tegenaan te gooien: in het verkeer kun je ook niet 100% van de tijd foutloos rijden, en veel ongelukken worden alleen voorkomen omdat iemand anders wél zat op te letten.

Op de werkvloer zijn mensen bezig met hun werk, en doen heus hn best om niet in phishingmails te trappen. Maar 100% van de tijd 100% alert zijn, is onmogelijk voor een mens.
Reageer
DdeM @Heroic_Nonsense8 mei 2026 15:07
Excuses dat ik het verkeerd gelezen heb. Nu ik het teruglees, en deze reactie, ben ik het 100% met je eens. Muv het stuk over betalen, ik blijf er bij dat dat altijd een slecht idee is. Is al vaker voorgekomen dat bij hackergroepen die zeggen data verwijderd te hebben bij het oprollen van de bende de data gewoon nog bestaat.
Reageer
batjes @bzuidgeest8 mei 2026 16:31
Ding is wel dat je het hacken niet gaat tegenhouden met het verbieden van betalen.

Genoeg partijen zullen onder de tafel wel betalen en zolang dit niet wereldwijd gelijk getrokken wordt, zul je hier nog steeds constant geraakt worden als collateral damage. Zelfs al betalen we niet, zijn onze bedrijven nog steeds een goudmijn om vanuit verder te spreiden.
Reageer
Guru Evi @bzuidgeest8 mei 2026 17:22
Het is een cursus platform, met al de data en namen van studenten, hun rapporten, testscores, commentaar etc.

Het is in ieder geval een overtreding van de privacy wetgeving in EU en FERPA in de VS.

Met dit soort hacks die 100% voorspelbaar en beschermbaar zijn (ShinyHunters gebruikt grotendeels gestolen/bekende admin accounts, of vindbare sleutels & S3 buckets waar geen 2FA op staat) zouden deze bedrijven ten onder moeten gaan. Daarnaast, Canvas was ooit een open source LMS platform, het is nu "open core" waardoor er veel minder onderhoud en inzicht in het systeem is.
Reageer
Luchtbakker @theduke19898 mei 2026 08:30
Mocht het echt zo zijn dat als je betaald en ze nooit meer wat doen of iets achtergelaten hebben. Zou ik zeggen betaal die handel. En je systemen zijn up-and-running.

Maar je weet het nooit met dit soort tuig. Dus ja proberen te patchen etc is dan je eenigste hoop. Ziet natuurlijk wanhopig uit want het is te laat.
Ook al was die garantie er, gewoon simpelweg niet betalen. Als we maar blijven betalen aan ze, is dat exact de beweegredenen om door te gaan en bedrijven af te persen. Dus nee, dit wil je gewoon niet.

Wat mij betreft wordt het betalen aan dit soort gasten per wet verboden.
Reageer
Wouterie @Luchtbakker8 mei 2026 12:18
Het is niets meer dan gijzeling en afpersing. Wil je het ook strafbaar maken om in de fysieke wereld losgeld te betalen? Het voordeel van het strafbaar maken hiervan is dat je kunt uitrekenen wat financieel het minst pijn doet.

Een 'leuk' offline voorbeeld is een rebellengroepering als de FARC ooit was, maar er zijn er nog velen. Zij 'verdienen' hun geld door drugshandel en losgeld. Best wat toeristen en prominenten zijn ontvoerd en pas vrijgelaten na betaling van losgeld. Het strafbaar stellen van slachtoffers is nogal ethisch dubieus.

Nu kun je stellen dat het bij die groeperingen gaat om mensenlevens en digitaal alleen maar om data... Maar dat is lang niet altijd het geval of zo simpel.
Reageer
renecl @theduke19898 mei 2026 08:24
Ja en zelfs de phishing wordt steeds vervelender en echter. En is eigenlijk niet meer houdbaar.
Reageer
SuperDre
@theduke19898 mei 2026 15:08
En genoeg bedrijven hebben gewoon niet de capaciteit/budget om te doen zoals jullie het doen, die hebben vaak al moeite genoeg om developers te vinden om aan hun software zelf te werken. En security is echt een apart vak, zelf als developer vind ik dat juist echt niet leuk om mee bezig te moeten zijn, ik wil gewoon aan de software zelf werken.
Reageer
SiGNe @theduke19898 mei 2026 16:14
Probleem is dat als je betaalt de groep een reden heeft om nog meer te hacken en daar meer mogelijkheden voor hebben.
Bij betaling hebben ze zelf ook meer geld om servers te kopen/huren en maak je hun werk alleen maar makkelijker.
Dat geld kan men dan beter inzetten om de beveiliging beter op orde te krijgen zodat de mogelijkheid om gehackt te worden veel kleiner wordt.

Zou jij iemand die bij jou ingebroken heeft gaan betalen om je spullen terug te krijgen?
Of schakel je op zo'n moment de poltie in en koop je betere sloten en camerabeveilging?

Mij valt in elk geval bij die hacks op dat over het algemeen de databases niet versleuteld waren.
Dus daar zouden bedrijven als eerste mee moeten beginnen, ook al maakt het het werk voor de eigen medewerkers ook lastiger.
Reageer
TimVerified 8 mei 2026 08:23
Ik hoor wel erg veel Shiny Hunters de laatste tijd. Is het dan echt zo lastig dit soort groepen te tracken en op te pakken?
Reageer
djexplo @TimVerified8 mei 2026 08:36
Tussen 2022 en 2025 zijn meerdere (vermeende) leden gearresteerd, in Marokko, de VS en een aantal in Frankrijk (Wikipedia).
Wikipedia laatse zin is "not the ring leader, as they are still active". Wat dus aaangeeft dat de leden verspreid zitten over de wereld wat het complex maakt, maar dat er misschien ook wel een cellen of ringen structuur is. Waarbij het dus niet een groot groep is, maar heel veel losse sub groepjes die samenwerken, en de meeste mensen maar een paar andere mensen in de groep kennen.
Reageer
RSH @djexplo8 mei 2026 08:48
Gaat wat off-topic, maar ring leader is een gebruikelijke term voor leider van een (criminele) groep, en wordt niet gebruikt om de structuur van die groep te omschrijven.
Reageer
Dragony @djexplo8 mei 2026 15:58
Beetje off-topic (denk ik?), maar waarom is Marokko dikgedrukt?
Reageer
The Zep Man
@TimVerified8 mei 2026 08:33
Ik hoor wel erg veel Shiny Hunters de laatste tijd. Is het dan echt zo lastig dit soort groepen te tracken en op te pakken?
ShinyHunters gebruikt Tor voor communicatie en gebruikt op het reguliere internet servers die niet naar hen terug te herleiden zijn. Voor het ontvangen van betalingen gebruiken ze cryptocurrency. Mits ShinyHunters goede discipline toepast, kunnen ze dit een tijd volhouden.

Het kan ook zijn dat hoger management vanuit een land opereert waar andere landen geen invloed op hebben. Zolang een dergelijk land niet zelf aangevallen wordt, is er een extra beschermingslaag voor als toch identiteiten van organisatieleden bekend worden bij autoriteiten. Dan is het wel zaak om internationaal reizen te vermijden of om een nieuwe identiteit te nemen.

[Reactie gewijzigd door The Zep Man op 8 mei 2026 09:37]

Reageer
willieverhoef @The Zep Man8 mei 2026 09:06
Dus als oplossing hosting en betaling met cryptocurrency verbieden? Persoonlijk zie ik geen legale reden voor dit soort betalingen. Actie groeperingen kunnen ook prima betalen met een account in een bevriend land.
Reageer
The Zep Man
@willieverhoef8 mei 2026 09:20
Dus als oplossing hosting en betaling met cryptocurrency verbieden?
Wie verbiedt wat waar onder welke autoriteit? Hoe voorkom je hosting vanuit landen die een dikke middelvinger geven over dit soort ideeën? Wie zegt dat ShinyHunters betaalt voor hun zichtbare servers op het internet? Dat kunnen ook gehackte servers zijn.

Een land heeft beperkt tot geen invloed op wat andere landen doen of niet doen. Een land heeft wel invloed op zichzelf. Een verbod op het financieren van criminele netwerken kan prima toegepast worden om aanvallen met als doel financieel belang te ontmoedigen.

[Reactie gewijzigd door The Zep Man op 8 mei 2026 09:27]

Reageer
batjes @The Zep Man8 mei 2026 16:46
Dit soort groepen opereren niet voor niets vaak uit bepaalde landen. Leden kunnen soms overal te vinden zijn, maar de kans is relatief groot dat deze gasterts in Rusland, China of Noord-Korea zitten. Want zolang je daar het buitenland aanvalt, is er lokaal niets aan de hand.

Misschien moeten we dat als EU ook maar eens gaan doen "Hé, zolang je buiten de EU hackt, schend je onze wetgeving eigenlijk niet, doe je ding". Het is een manier van digitale oorlogsvoering en het enige antwoord voor geweld, is geweld.
Reageer
Nozzit @TimVerified8 mei 2026 08:26
Ja, ik verbaas me daar ook over.
Reageer
bzuidgeest
@TimVerified8 mei 2026 08:46
Ja, je gaat er van uit dat het een kantoor ergens is. Maar dit is gewoon een groep verspreid over heel de wereld.
Reageer
MoBi 8 mei 2026 08:55
De vermelding van Canvas is verdwenen van de Shinyhunters website, er lijkt dus betaald te zijn.
Reageer
telenut @MoBi8 mei 2026 14:03
Niet noodzakelijk, maar men zal contact hebben opgenomen en laten weten te willen onderhandelen als die melding maar van hun site gaat...
Als die onderhandeling mislukt komt het wel weer op hun site.
Reageer
kabouter428 8 mei 2026 08:57
Hier op universiteit zegt canvas nog mooi dikke doei. Wel prettig dat we nu extra tijd hebben voor de opdracht. Maar van de andere Kant is het gewoon heel ... Kan niet meer bij data van de colleges en de benodigde data sets. Ik hoop dat ze snel weer online Komen maar ik heb zo'n idee dat het wel even gaat duren.
Reageer
Savantas 8 mei 2026 09:18
Het lijkt me meer een probleem dat er (weer een Amerikaanse) leverancier door iedereen gebruikt wordt. Ook hier zouden meer, liefst open source, pakketten gebruikt moeten worden die niet bij/door één toko gehost wordt, maar gewoon per universiteit/hogeschool/... en alleen via eigen infrastructuur en VPN te gebruiken is. Pakketten als Moodle zijn zo uit te rollen. Ook hier mag Surfnet hard mee aan de gang gaan, en dan centraal, zodat er ook vanuit Surfnet algemene Nederlandse ondersteuning gegeven kan worden (om meteen op die manier het heikele punt van ondersteuning van open source software te tackelen).
Reageer
H1MSELF1SH 8 mei 2026 10:00
dit is de lijst van alle getroffen scholen: https://gist.github.com/codejake/00f3f1c6e000e7d0baf93f72fd6be325
Reageer
Michiel36 8 mei 2026 09:10
Zon groep als deze laat ook zien hoe onverantwoord het is om maar gewoon llm's met programmeer skills op de mensheid te dumpen. Niet dat het deze groep ge-enabled heeft (geen idee?), maar wel dat je niet zomaar iedereen een sleutel kan geven zonder eerst de sloten te upgraden en dan geen slechte uitkomst kan verwachten. Natuurlijk gebruikt niet iedereen het, maar een steeds grotere groep wel.
Reageer
armageddon_2k1 @Michiel368 mei 2026 11:56
Iets met klok en klepel. Waar haal jij nu weer LLM's vandaan in deze context?
Reageer
Speedpete @Michiel368 mei 2026 10:29
Voor zover bekend ging het hier om social engineering, bij Odido was dat ook het geval.

Dus je moet inderdaad niet zomaar iedereen een sleutel geven en als ze al een sleutel hebben, dan is het handig dat ze niet zomaar alle kamertjes in kunnen en dat ook iemand controleert wat iemand doet.
Reageer
Heroic_Nonsense @Michiel368 mei 2026 15:36
De modus operandi van Shinyhunters is dat ze medewerkers van de doelbedrijven ervan overtuigen om op links te klikken en hun credentials op te geven, bijvoorbeeld door zich voor te doen als de helpdesk van de werkgever van het doel.

Met die credentials wordt gekeken wat nodig is om bij de data te komen, en men zet zero days in om het gebruikte account te elevaten naar het juiste rechtenniveau en verdere beveiligingsmaatregelen te omzeilen.

In de meeste gevallen werd vervolgens op afstand ingelogd in de database om een dump te krijgen van de ruwe data.
In sommige gevallen in het verleden ging het om screenscrapes, waarbij software record-voor-record door de database loopt en middels het uitlezen van het scherm de data steelt.
Reageer
batjes @Heroic_Nonsense8 mei 2026 16:54
Dat is het MO van zo'n beetje elke groep.

Tot vorig jaar voor een MSP gewerkt en kwam dit soort hacks aan de lopende band tegen. Mensen worden veelal gewoon per mail van een vertrouwde partij een linkje gestuurd waar men op dient in te loggen.

Lijkt vaak op sharepoint of iets en de meeste mensen zijn nou eenmaal jarenlang geconditioneerd met allerhande onnodige login vensters, om daar gewoon op in te loggen. We hebben eindgebruikers dit process laten automatiseren.

Er logt vervolgens iemand in met zijn of haar M365 account en de aanvallers gaan vervolgens rondgraven.

Het grote probleem is dat 9/10 mensen die zoiets overkomt zich schamen, te goed voelen of whatever. Het niet melden en zo de aanvallers de tijd geven.
Reageer
renecl 8 mei 2026 08:28
We moeten ook af dat we alles maar aan het internet willen hangen. Ja het is makkelijk, dat wel, maar is het echt wel nodig?
Reageer
Vexxon @renecl8 mei 2026 08:37
Yes, bring back the postduif!
Reageer
renecl @Vexxon8 mei 2026 08:38
Die kunnen ze natuurlijk ook weer onderscheppen met netjes ;-)
Reageer
zerothe2nd @renecl8 mei 2026 09:57
Tegenwoordig gewoon met drones midden uit de lucht 8)7
Reageer
bzuidgeest
@renecl8 mei 2026 08:49
Ja, het internet is 100x vriendelijker voor de natuur in veel opzichten. Als al het cursus materiaal in canvas staat hoeft het niet afgedrukt te worden, keer op keer om na nakijken weggegooid te worden. Email? voorkomt zo veel post. Aanvraag voor subsidie of steun? Gewoon online en min of meer automatisch.

Voor zoveel dingen wil je echt niet terug naar pen en papier.

En dan dingen als remote beveiliging, camera's etc ..

Je kan je net zo goed afvragen of wapens wel echt nodig zijn omdat mensen elkaar doden ermee. Of auto's wel nodig zijn want je kan ook lopen en sjouwen.
Reageer
leendt @bzuidgeest8 mei 2026 09:23
Er zit ook nog iets tussen papier en alles bij elkaar zetten op een datacenter van een derde partij ('cloud').

Vroeger hadden dit soort hacks niet de waarde die ze nu hebben. Dan had je toegang tot één school. Nu heb je in één keer toegang tot de complete, geordende data van heel veel scholen.
Reageer
bzuidgeest
@leendt8 mei 2026 09:33
Maar als alle scholen dezelfde software draaien hebben ze ook dezelfde zwakheid. Dus kunnen ze allemaal in 1 keer gehacked worden. Het is iets meer werk voor de criminelen, maar het veranderd weinig.
Reageer
DdeM @bzuidgeest8 mei 2026 10:01
Niet helemaal mee eens. Als dit via social engineering is gegaan hebben niet alle scholen dezelfde persoon om te overtuigen, dus in die zin niet dezelfde zwakheid. Ging het (mede) via bugs die al opgelost zijn \*kuch\* Odido \*kuch\* dan zal dat ook niet bij elk bedrijf issues opleveren omdat sommige (hopelijk de meeste) een fatsoenlijk patch beleid hebben. Dan hou je eigenlijk de zero days over. Dus meer in premise kan de veiligheid voor de meerderheid echt wel verhogen. Hiervoor hoeft het trouwens niet in zijn geheel in premise te draaien, als het maar op een eigen cloud staat ipv alle gegevens van alle scholen in dezelfde cloud. Het is niet alsof je dat als bedrijf zijnde niet kan aanbieden, ik heb vaak genoeg saas diensten van 3e partijen in een eigen Azure omgeving gezet bijvoorbeeld waarbij huneen toegang konden krijgen wanneer iemand aan onze kant expliciet toestemming geeft.
Reageer
bzuidgeest
@DdeM8 mei 2026 13:53
ja ok, social engineering zou moeilijk worden fair point.
Reageer
leendt @bzuidgeest8 mei 2026 14:08
Mochten ze dezelfde software gebruiken voor één ding heb je het nog over honderden verschillende netwerken en samenstellingen. Véél meer werk dus.


En dan het belangrijkste: je moet ze ook nog allemaal apart afpersen. Dan is het niet zo lucratief meer.
Reageer
bzuidgeest
@leendt8 mei 2026 16:18
Dat spul word dan meestal als een pakketje aangeleverd. Overal op dezelfde http server met dezelfde componenten. Ja je moet ze individueel afpersen, maar voor een miljoen kan je een hoop uren maken.
Reageer
batjes @bzuidgeest8 mei 2026 17:00
Ik twijfel of papier zo nadelig is. Het zorgt voor productiebossen, onze veluwe is er 1 van, de Belgische Ardennen nog zo 1. Het enige 'bos' wat je met de auto hier kan bereiken.

Nu bouwen we een gigantische infrastructuur om een emailtje te kunnen lezen, die op papier nooit uitgetypt zou worden want onnodige informatie.
Reageer
Jojopp @bzuidgeest10 mei 2026 01:29
Waaaat? Het continue opladen van apparaten, data centers en AI centers vreten ENORM veel stroom. Stroom die grotendeels gemaakt word op fossiele wijze. En gekoeld word met water wat DEFINITIEF uit ons ecosysteem verdwijnt.

Overigens is papier 1x afdrukken. Als student kan ik je stellen dat opdrachten per leerling minimaal 10x geopend worden. Iedere keer een nieuwe aanvraag aan de server die iedere keer stroom verbruikt om je aanvraag te beantwoorden.

Papier word gemaakt van een renewable source. Goed gepland kan je papier maken terwijl het aantal bomen op de aarde groeit. En tevens word al veel papier gerecycled en opnieuw blanco papier.

Een beetje zoals elektrische auto’s, ze worden verkocht onder de noemer groen, maar ondertussen worden veruit de meeste opgeladen met fossiele brandstoffen.

Internet en elektronica zijn alles behalve groen of goed voor het klimaat/natuur.
Reageer
pauldebra @renecl8 mei 2026 08:58
Voor on-line diensten is het natuurlijk nodig om een "front-end" on-line te hebben. Maar je kan de scheiding tussen front- en back-end in veel gevallen veel strikter maken. En data die bij sommige hacks gestolen blijken te zijn (uitgebreide persoonsgegevens, klant-data van jaren geleden...) hoeven helemaal niet on-line te staan. Die kunnen via een speciaal protocol periodiek even toegankelijk zijn om te updaten, maar hoeven verder nooit via Internet te benaderen te zijn.
Daarnaast is het houden van off-line backups ook belangrijk. En schaduw-servers draaiend houden die off-line zijn en periodiek gecontroleerde updates krijgen... het kan allemaal. Ik heb thuis ook een server draaien en een tweede machine als backup uit-staan behalve wanneer ik van de on-line server een backup van data maak naar de off-line server. Daarbij wordt alleen passieve data gekopieerd en geen software. En dat is allemaal nog maar op een (op wereldschaal bekeken) onbelangrijk servertje...
Reageer
Heroic_Nonsense @renecl8 mei 2026 15:27
Je wordt gemind, maar dit is wel serieus één van de oplossingen.

Gekscherend worden er door mede-Tweakers hieronder dan papier en postduiven bijgehaald, maar het simpelweg uit de cloud halen en lokaal hosten van data, en het scheiden van werkplekken die bij de data kunnen en werkplekken die toegang hebben tot het internet (desnoods via VMs) zou al heel veel schelen.
Reageer
renecl @Heroic_Nonsense11 mei 2026 20:13
Tjah, ik ben 58 jaar oud en altijd in de IT gezeten. Dus van 100% offline, naar de tijd van nu.
Ik heb er zelf mee aan gedaan, alles moest aan het magische internet ;-)

Nu vraag ik me echt af of mijn koffieautomaat wel zo nodig WIFI moet hebben, en waarom heeft echt ALLES een APP nodig om te werken ;-)

Schoolresultaten, opdrachten kun je ook mailen, of alleen op school zelf raadplegen.
Enz enz

Er is gerust wel een mooie middenweg te vinden denk ik.
Reageer
DefaultError 8 mei 2026 08:42
We ontkomen niet aan een ‘next level’ van beveiligen.
Reageer
sapphire @DefaultError8 mei 2026 09:22
Ik vraag me af of het ‘next level’ is of eindelijk noodzaak komt om het gewoon fatsoenlijk te doen ipv halfbakken ‘want het is toch niet nodig’.

Wat je vaak ziet is dat security het ondergeschoven kindje was want kost geld en voegt niets toe aan de operatie, of nog erger het verlaagd de productiviteit zelfs iets.

Nu word gewoon duidelijk dat als je je zaken niet op orde hebt de kans reeël is dat het hele bedrijf plat gaat (ransomware) of al je bedrijfsdata op straat komt te liggen.
Reageer
DefaultError @sapphire10 mei 2026 10:40
Geef beveiliging ook een deel van de cake, meer geld naar onderzoek & beveiliging. En niet alleen het advies ter harte aannemen.
Reageer
Raymond Deen 8 mei 2026 08:49
Saas wordt nu ondertussen wel een keertje extra goed over gedacht, denk ik zo.

Op de één of andere manier lijken die systemen allemaal zodanig opgezet dat data van klanten blijkbaar volledig toegankelijk is voor de aanbieders en dat kan toch niet de bedoeling zijn?

Of is dat zo door wetgeving? Moeten deze aanbieders volledige toegang geven zodra een overheidsorgaan die verzoekt? Dat kan ik me niet goed voorstellen, want er zijn ook clubs die dit wél goed geregeld hebben door toegangsrechten en encryptie consequent toe te passen.
Reageer

Om te kunnen reageren moet je ingelogd zijn