Onderwijsplatform Canvas sluit deal met hackersgroep, 'data is verwijderd'

Instructure, het bedrijf achter onderwijsplatform Canvas, heeft een deal gesloten met hackersgroep ShinyHunters. Het platform werd vorige week gehackt, waarbij gegevens van miljoenen leerlingen en onderwijsmedewerkers werden gestolen. Die data moet nu verwijderd zijn.

Dit nieuws in het kort

  • Canvas-eigenaar heeft een deal gesloten met hackersgroep ShinyHunters na een grote datadiefstal.
  • De gestolen gegevens zouden inmiddels verwijderd zijn en scholen hoeven niet zelf te onderhandelen met de hackers.
  • Het is onbekend of Instructure losgeld heeft betaald.
  • ShinyHunters zat onlangs ook achter de hacks van Odido.

De gestolen gegevens zijn inmiddels teruggestuurd naar Instructure, schrijft het bedrijf op zijn website. Het heeft ook digitaal bewijs gekregen dat de data inderdaad is verwijderd. De deal geldt voor alle klanten van Instructure. Scholen hoeven dus niet zelf te onderhandelen met de hackers: "Ons is verteld dat geen enkele klant zal worden afgeperst als resultaat van dit incident."

Instructure had tot dinsdag om een akkoord te sluiten met de hackersgroepering. Er zijn verder geen details bekend over de deal tussen Instructure en ShinyHunters. Het bedrijf zegt niet of er losgeld is betaald om de gegevens te laten verwijderen. De hackers eisten dat wel.

"Hoewel er bij cybercriminelen nooit volledige zekerheid bestaat, vonden wij het belangrijk om alle maatregelen te nemen die binnen onze macht liggen om onze klanten zo veel mogelijk extra gemoedsrust te bieden", schrijft het bedrijf.

Vlak voor de deadline

ShinyHunters hackte eind vorige maand Instructure, het bedrijf achter Canvas. Dat platform wordt veel gebruikt op scholen en universiteiten. Ook Nederlandse en Belgische onderwijsinstellingen gebruiken Canvas.

Bij de hack werden berichten tussen leerlingen en leraren gestolen, naast namen, e-mailadressen en studentennummers. De hackers dreigden die gegevens openbaar te maken als Instructure geen losgeld betaalde.

Het leek er in eerste instantie niet op dat Instructure dat wilde doen. Het bedrijf had in ieder geval eind vorige week nog geen contact opgenomen met de hackers. Zij plaatsten daarom eind vorige week een waarschuwing op de Canvas-omgevingen van verschillende onderwijsinstellingen.

Toen dreigden de hackers op 12 mei data te laten uitlekken als Instructure niet zou betalen en zetten ze de deur open voor scholen en universiteiten om zelf te onderhandelen met de hackers. Volgens Reuters en Krebs hebben meerdere onderwijsinstellingen dat ook gedaan, al is dat na de deal dus niet meer nodig.

ShinyHunters

ShinyHunters is inmiddels een beruchte naam. De groep is bijvoorbeeld verantwoordelijk voor de grote hack bij Nederlandse provider Odido, waarbij de gegevens van miljoenen klanten op straat kwamen te liggen. ShinyHunters maakte internationaal ook andere grote slachtoffers in de afgelopen maanden. De groepering hackte recent Rockstar Games, de Europese Unie en Pornhub.

Correctie, 15.40 uur – In het artikel stond aanvankelijk dat ShinyHunters ook betrokken was bij de ChipSoft-hack, maar dat klopt niet. Het artikel is hierop aangepast.

Shinyhunters Instructure Canvas
ShinyHunters plaatste vorige week nog een waarschuwing op de Canvas-omgevingen van scholen en universiteiten.

Door Daan van Monsjou

Nieuwsredacteur

Feedback • 12-05-2026 08:10
170 • submitter: fnl

12-05-2026 • 08:10

170

Submitter: fnl

Lees meer

29 apr 2026

'Gestolen ChipSoft-data verschijnt niet online', maar is dat wel zo?

71
Veel taalwebsites gaan offline na hack bij Instituut voor de Nederlandse Taal
Veel taalwebsites gaan offline na hack bij Instituut voor de Nederlandse Taal Nieuws van 12 mei 2026
Cyberaanval op Canvas ontregelt onderwijs bij Nederlandse universiteiten
Cyberaanval op Canvas ontregelt onderwijs bij Nederlandse universiteiten Nieuws van 11 mei 2026
'Universiteiten benaderen ShinyHunters om datalek na Canvas-hack te voorkomen'
'Universiteiten benaderen ShinyHunters om datalek na Canvas-hack te voorkomen' Nieuws van 10 mei 2026
Criminelen nemen kort Canvas-omgevingen universiteiten over na 'tweede hack'
Criminelen nemen kort Canvas-omgevingen universiteiten over na 'tweede hack' Nieuws van 8 mei 2026
Onderwijsinstellingen Nederland en België waarschuwen studenten na Canvas-hack
Onderwijsinstellingen Nederland en België waarschuwen studenten na Canvas-hack Nieuws van 6 mei 2026
Dieven stelen privédata van studenten en docenten via onderwijssoftware Canvas
Dieven stelen privédata van studenten en docenten via onderwijssoftware Canvas Nieuws van 4 mei 2026
Stichting begint massaclaim tegen Odido vanwege datalek
Stichting begint massaclaim tegen Odido vanwege datalek Nieuws van 20 april 2026
Uitgelekte data toont dat GTA Online 9,6 miljoen dollar per week oplevert
Uitgelekte data toont dat GTA Online 9,6 miljoen dollar per week oplevert Nieuws van 14 april 2026
Rockstar bevestigt datadiefstal, 'heeft geen gevolgen voor bedrijf of spelers'
Rockstar bevestigt datadiefstal, 'heeft geen gevolgen voor bedrijf of spelers' Nieuws van 12 april 2026
Shinyhunters claimt 'metricsgegevens' van Rockstar Games te hebben gestolen
Shinyhunters claimt 'metricsgegevens' van Rockstar Games te hebben gestolen Nieuws van 11 april 2026
EU bevestigt: ShinyHunters stal persoonsgegevens bij recente hack
EU bevestigt: ShinyHunters stal persoonsgegevens bij recente hack Nieuws van 3 april 2026
Shinyhunters steelt data van 900.000 mensen bij hack van securitybedrijf Aura
Shinyhunters steelt data van 900.000 mensen bij hack van securitybedrijf Aura Nieuws van 18 maart 2026
Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online
Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online Nieuws van 1 maart 2026
Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe
Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe Nieuws van 27 februari 2026
Gestolen Odido-klantgegevens blijken gevoeliger dan gedacht, Odido wist van niks
Gestolen Odido-klantgegevens blijken gevoeliger dan gedacht, Odido wist van niks Nieuws van 25 februari 2026
Hackers claimen diefstal kijkgedragdata van Pornhub Premium-abonnees
Hackers claimen diefstal kijkgedragdata van Pornhub Premium-abonnees Nieuws van 16 december 2025
Meer producten en artikelen
Beveiliging en antivirus Bedrijfsnieuws Canvas Hack Hackers ShinyHunters

Reacties (170)

-Moderatie-faq
170
165
69
3
0
75
Wijzig sortering

Sorteer op:

Weergave:
hulseman 12 mei 2026 08:14
En zo zorg je dat hackers beloond worden...
Reageer
Themperror @hulseman12 mei 2026 08:19
Ik zie het andersom, zie het als een boete om je veiligheid niet op orde te hebben, vooral als je persoonsgegevens bezit..

En als bedrijf zijnde heb je eigenlijk weinig keus dan betalen, anders betalen je klanten de prijs (Odido..)
Reageer
NoTechSupport @Themperror12 mei 2026 08:28
  1. Je kan je beveiliging helemaal op orde hebben en gehacked worden dmv een zero-day.
  2. Je vertrouwt de hackers op hun eer, zie ik :-). De data zal miss niet (semi-)publiek gereleased worden, maar er zijn ook discrete afnemers, zoals landen die hier de democratie willen ondermijnen, die graag deze persoonsgegevens hebben.
Reageer
TomPlant0 @NoTechSupport12 mei 2026 08:34
Je kan ook gehackt worden door een combinatie van phishingaanvallen en social engineering. Kijk maar naar Odido. Eerst dmv phishing inloggegevens buit gemaakt. Daarna dmv social engineering MFA-code buit maken.

Het allerbelangrijkste is dus ook personeel trainen als je veel gevoelige data hebt.
Reageer
phoenix2149 @TomPlant012 mei 2026 09:09
Ook daar blijkt gewoon uit dat je je personeel gewoon niet goed hebt getraind. Een MFA is als een tijdelijke pin. Die geef je nooit af.
Reageer
NatteKrant @phoenix214912 mei 2026 09:26
Kom nu eens gewoon uit die tweaker tech bubbel en observeer de wereld.

Ik werk bij een bedrijf met 10.000+ mensen met allerlei achtergronden, niveaus en interesses. Het is een volstrekt onrealistische gedachte dat je al deze mensen middels training behoed voor de val. We doen echt ons uiterste best met trainings en awareness, maar telkens as we intern een phishing campaign doen, schrik je weer van het aantal medewerkers dat er gewoon intrapt.

Daar mag je van vinden wat je wil, maar dat dat is gewoon de realiteit en waar we naar moeten handelen.
Reageer
gorgi_19 @siggy12 mei 2026 10:10
De realiteit is dat op een groep van 10.000 mensen er vast enkelen zijn die in een phishing campagne trappen. Niemand is foutloos, en op een grotere groep gaat het gegarandeerd fout.

Alle trainingen en testen richten zich erop om mensen bewust te maken en de kans op fouten te verkleinen, meer niet.

Zelfs Troy Hunt, oprichter van Have I Been Powned, is een keer in een phishing campagne getrapt:
https://haveibeenpwned.com/Breach/TroyHuntMailchimpList

Dit laat zien dat het iedereen kan overkomen en er zijn hopelijk meerdere maatregelen, maar het gaat te ver om mensen alleen hierom te diskwalificeren.
Reageer
sapphire @siggy12 mei 2026 10:16
De realiteit is dat als je alles direct falen noemt en mensen ontslaat je geen mensen meer overhoud.

Als ik naar onze werkvloer (ook met 10k+ mensen) kijk dan herken ik wat @NatteKrant zegt direct. Al zet je de beste trainer met de beste training bij een groep mensen die het niet interesseert en gewoon hun werk willen doen gaat dat alsnog niet werken.

Uiteraard moet je je security als organisatie op orde hebben om kwaadwillende buiten te houden maar je kunt daarnaast er tegenwoordig maar beter vanuit gaan dat ze toch wel binnen komen en je daar ook op richten.
Segmenteren, mensen geen onnodige rechten en toegang geven, monitoring, etc..
Wij zijn ook eens op ons bek gegaan met een phising en datalek tot gevolg, gelukkig beperkt doordat er iemand bij de afdeling security wakker was en goed opletten. Daar zijn waardevolle lessen uit getrokken en verschillende aanpassingen aan gedaan qua beleid en ik gebruik het bijna dagelijks om het belang van security uit te leggen aan collega's op de werkvloer.
Reageer
Trousercough @siggy12 mei 2026 10:13
Iedereen maakt fouten, ook als de trainingen/trainers wel adequaat zijn.

Je kan simpelwegen niet alles 100% voorkomen helaas
Reageer
SunnieNL @siggy12 mei 2026 12:02
De realiteit is dat iedereen op een gegeven moment in phishing kan trappen. Ook de mensen die dagelijks met security te maken hebben.

En dreigen met ontslag werkt helemaal averechts. Dan kun je ze beter belonen dat ze direct bellen als ze zelf denken dat ze een fout gemaakt hebben. Daar kun je ook het beste je mensen in trainen.

Je moet niet meten hoe vaak er op een phishing link wordt geklikt, maar hoe snel ze actie ondernemen op het moment dat het mis is gegaan. Dan kun je gelijk controleren of je proces ook zijn werk doet. Want bij veel bedrijven gaat het daar mis. In het proces dat moet volgen op een melding dat een gebruiker per ongeluk op een phishing link heeft geklikt of in een social engineering aanval is getrapt.
Reageer
KoffieAnanas @siggy12 mei 2026 12:12
Ik hoop niet dat jij op een cruciale positie zit in de IT. Het geloof aanhouden dat je met behulp van training en technische maatregelen je systeem waterdicht houdt, is niet alleen bijzonder naïef als ook heel dom. Het is simpelweg onrealistisch, en je moet er juist rekening mee houden dat mensen fouten maken en kunnen falen. Zelfde geldt voor de technische maatregelen.

Jouw stelling zie ik juist als een falen. ;)
Reageer
EXCalibur_EeK @siggy12 mei 2026 11:32
Das wel heel kort door de bocht. Zelfs voor een IT'er is het niet altijd even makkelijk om te zien of het om een phishing mail gaat of niet.

Heb al een paar keer gezien dat hele slimme mensen in mijn bedrijf op een link in een mail hebben geklikt omdat ze toevallig een mail verwachtten over een bepaald onderwerp en de phishing mail (van de simulator) juist inspeelde op dat onderwerp.

Trainingen dienen als doel om mensen bewust te maken en risico te verminderen. Helemaal weg lukt sowieso niet, dat is een utopie.
Reageer
xenn99 @EXCalibur_EeK12 mei 2026 13:01
Dan blokkeer je gewoon alle links en attachments he ;)
Of je geeft incapable medewerkers sowieso geen internet toegang.

Hier hebben van de 1000+ medewerkers er misschien 50 internet toegang de rest gewoon niet.
Scheelt ook nog flink in productiviteit want mensen zitten niet meer constant naar hun facebook pagina te gapen.
En klant data? Die wordt enkel verwerkt op een air gapped systeem zonder toegang van buiten af en zonder internet.
Ik wordt echt zo zo moe van dat onzinnige gezwam dat dit niet te voorkomen is, dat is het namelijk in 99% van de gevallen wel, het vergt een andere opzet van je infrastructuur en segmentatie maar veel bedrijven willen daar niet in investeren.
Uitiendelijk is het gewoon veel goedkoper om een keer te betalen aan dit soort hackers dan het jaarlijks budget te verhogen.
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@xenn9912 mei 2026 21:48
Hier hebben van de 1000+ medewerkers er misschien 50 internet toegang de rest gewoon niet.
Dat is in heel veel gevallen geen realistisch scenario. Daarbij blijven de mensen zonder internet vatbaar voor andere vormen van social engineering. De mate van bescherming die je nodig bent en kan realiseren blijft een risico afweging.
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@siggy12 mei 2026 21:45
Reality check: 100% bescherming tegen phishing en andere social engineering aanvallen is helaas niet mogelijk. Daar waar gewerkt wordt worden vroeg of laat fouten gemaakt.
Reageer
xenn99 @Bor12 mei 2026 23:08
Door dat te zeggen heb je jezelf wel al direct gewonnen gegeven.
Als de strategie is, het is toch niet te voorkomen.. dan is het inderdaad nooit te voorkomen.

Natuurlijk worden er fouten gemaakt maar dat er bij allerlei bedrijven hele databases worden weg gehaald laat mij toch wel zien dat er echt een groter probleem is in hoe veel bedrijven hun IT infrastructuur opzetten.
Ik weet niet of dat dan vooral bewustwording moet zijn, of toch gewoon strengere afbakening.

Het probleem blijft er toch altijd een van de zwakste schakel, er zijn zelfs nu nog mensen die in 419 scams trappen, terwijl daar toch al meer dan 20 jaar voor gewaarschuwd wordt.
Daar moet je dus bij het ontwerpen van je beveiliging al van uit gaan, en zoveel mogelijk blokkades opwerpen die het werk process zo min mogelijk ontwrichten.

Ik heb niet het gevoel dat veel bedrijven hier echt serieus mee bezig zijn.
Ja nadat ze gehacked zijn, dan wel, maar dan is het al te laat.
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@xenn9913 mei 2026 08:28
Door dat te zeggen heb je jezelf wel al direct gewonnen gegeven.
Als de strategie is, het is toch niet te voorkomen.. dan is het inderdaad nooit te voorkomen.
Zeker niet. Je neemt natuurlijk maatregelen gebaseerd op een risico analyse. Je kan het risico enorm verminderen maar het zal nooit de 0 bereiken. Het is goed je dat te beseffen. Dat heeft niets te maken met je gewonnen geven maar meer met besef dat je je ook moet voorbereiden voor wanneer het toch misgaat.
Reageer
Jorrie @siggy12 mei 2026 13:11
Ik mag hopen dat de verantwoordelijken inmiddels een andere baan hebben of is dit weer de realiteit dat falen beloond wordt? Want dat is ook de realiteit.
Wat is dit nou weer voor flauwekul? Heb je wel enige realiteitszin?
Reageer
Manderlay1 @NatteKrant12 mei 2026 09:50
Ja maar alles afgrendelen zal het ook onwerkbaar maken + kostelijk om te onderhouden. Dus voor het bedrijf kost het sowieso geld..
Reageer
Heroic_Nonsense @NatteKrant12 mei 2026 10:00
Dit is inderdaad de realiteit.

IT-ers en de gemiddelde bezoekr op Tweakers vormen niet een doorsnee van de maatschappij, en daarmee ook niet de doorsnee medewerker van een bedrijf.

Zelfs met alle campagnes, zowel door overheid als door ons als security afdeling, kunnen niet voorkomen dat mensen in phishing trappen. De phishing is geraffineerd, en medewerkers zijn hoofdzakelijk met hun werk bezig (alles wat IT is, is alleen maar een verstoring van hun werk waardoor KPI's niet gehaald worden).

Ik schreef het hierboven ook al, een mens kan niet 100% van de tijd 100% alert zijn. Ook niet als je een awarenesscursus gevolgd hebt. Sterker nog, zelfs niet als CISO-medewerker.

[Reactie gewijzigd door Heroic_Nonsense op 12 mei 2026 10:33]

Reageer
Skywalker27 @Heroic_Nonsense12 mei 2026 10:32
BTW bij veel Phishing tests blijkt dat de click rate onder IT'ers hoger ligt. Vooral die van Office365 doen het erg goed.
Reageer
Beagon @Skywalker2712 mei 2026 13:01
De vraag is alleen: Is dit om te kijken wat erachter zit en hier eventueel iets mee te doen, of vallen de IT'ers er ook echt volledig voor?

Ikzelf klik namelijk vaak door op een aparte browser om te kijken naar de source-code en vul daarna vaak wat gebrabbel in om de dataset te vervuilen. Kan mij voorstellen dat er meer IT'ers zijn die dit doen.
Reageer
Skywalker27 @Beagon12 mei 2026 15:33
EN dat is dus niet handig want soms is de click al genoeg.
De vraag is alleen: Is dit om te kijken wat erachter zit en hier eventueel iets mee te doen, of vallen de IT'ers er ook echt volledig voor?

Ikzelf klik namelijk vaak door op een aparte browser om te kijken naar de source-code en vul daarna vaak wat gebrabbel in om de dataset te vervuilen. Kan mij voorstellen dat er meer IT'ers zijn die dit doen.
Reageer
batjes @Skywalker2712 mei 2026 13:03
Komt denk ik ook vanwege nieuwsgierigheid. Juist wanneer ik weet dat een link niet te vertrouwen is, wil ik juist even koekeloeren. Toch elke keer mezelf vertellen "niet doen, straks is het een drive-by of moet ik weer een extra cursus doen"
Reageer
rjberg @NatteKrant12 mei 2026 13:07
Ook van binnen moet een systeem veilig zijn. Medewerkers mogen niet zomaar overal bij kunnen zonder toestemming. En ze mogen zeker niet dingen installeren zonder dat ze van IT zijn.

Mijn punt is dat wel of niet trainen niet genoeg is. Er moeten barrieres zijn tegen hackers aan de binnenkant, tussen de afdelingen en systemen.

[Reactie gewijzigd door rjberg op 12 mei 2026 13:09]

Reageer
NatteKrant @rjberg12 mei 2026 13:34
Daar zijn we het dan over eens... zie mijn comment in the thread

"Dus ja, de voordeur bewaken is nog steeds belangrijk, maar daarnaast moet je ook te security op orde voor wanneer iemand toch door de voordeur komt. En nogmaals: dat gaat, like it or not, gewoon gebeuren."
Reageer
La1974 @NatteKrant12 mei 2026 13:33
Terecht wat je schrijft. Je moet je personeel zoveel mogelijk beschermen tegen hun eigen onkunde/desinteresse. Iets eenvoudigs als een YubiKey had veel schade bij Odido kunnen voorkomen. Dan valt er geen MFA te delen (tenzij je de key weggeeft maar dat is dan onwil - even los van eventuele fysieke bedreiging).

Daar was Odido ook voor gewaarschuwd maar die waarschuwing is genegeerd).
Reageer
NatteKrant @i-chat12 mei 2026 10:58
Ik praat he-le-maal niks goed. Geen idee waar je leest.

Alleen als de realiteit uitwijst dat trainingen niet afdoende is, dan moet je naar die realiteit handelen. En dat kun je als privacy minded IT dude wel wijzen, klagen of stampvoeten dat "men" niet het juiste doet, maar dat helpt helemaal niemand.

Dus ja, de voordeur bewaken is nog steeds belangrijk, maar daarnaast moet je ook te security op orde voor wanneer iemand toch door de voordeur komt. En nogmaals: dat gaat, like it or not, gewoon gebeuren.

Sterker nog: dat zul je ook intern effectief moeten uitdragen om leadership te overtuigen waarom al deze security maatregelen noodzakelijk zijn. En ja, daarbij helpt het ook om middels interne phishing campaigns aan te tonen wat de realiteit.
Reageer
Stiello @i-chat12 mei 2026 11:59
Joyriden gebeurt ook nog steeds. Dus je punt laat juist duidelijk zien dat hoe hard je iets ook probeert te voorkomen, het toch gebeurt.

En als we iedereen die potentieel in een phishing campagne trapt gaan verbieden een pc te gebruiken houden we niets meer over.
Reageer
i-chat @Stiello12 mei 2026 12:28
Joyriden gebeurt ook nog steeds. Dus je punt laat juist duidelijk zien dat hoe hard je iets ook probeert te voorkomen, het toch gebeurt.

En als we iedereen die potentieel in een phishing campagne trapt gaan verbieden een pc te gebruiken houden we niets meer over.
Mijn hele punt is dat we van joyriden op zijn minst hebben gezegd dat je dan ook de risico's moet dragen

Dat iemand dood rijden zonder rijbewijs niet dikke pech is maar een bewuste gok met iemand anders leven op het spel

Nu nog die maatschappelijke bewustwording dat gokken op dat je niet wordt gehackt op een zelfde manier strafbaar moet zijn

en ook dat we niet meer spreken van slachtoffers maar ook van roekeloze internet gebruikers

Vooral als die roekelozen met gegevens van anderen te maken hebben

Het begint bij bewustwording en van niet de slachtofferrol aannemen maar ook bewust zijn van je eigen verantwoordelijkheid

[Reactie gewijzigd door i-chat op 12 mei 2026 12:32]

Reageer
Stiello @i-chat12 mei 2026 13:04
Dus je wil de persoon die in een phishing mail trapt een straf opleggen. Ook als deze in een bedrijf werkt waar deze persoon mogelijk niet alleen de zwakke schakel was maar een onderdeel van een ketting. Dus moeten we die hele ketting straffen opleggen?

Nee. Je straft het bedrijf welke verantwoordelijk is voor zijn werknemers en daar hebben we al een instantie (AP) voor. En ja, die mogen wat mij betreft wel wat sneller en zwaarder straffen. Maar wat je punt betreft, dat is er dus al.
Reageer
CAPSLOCK2000
@phoenix214912 mei 2026 13:07
Zelfs het best getrainde personeel zal ooit een fout maken. Al is het maar omdat ze hun muis op de grond laten vallen en per ongeluik ergens op klikken.
Reageer
pepijnm @phoenix214912 mei 2026 21:56
"Die geef je nooit af." Wel als iemand denkt dat ze op een echte website inloggen byv. Dat kan makkelijk genoeg. Laat het echt genoeg lijken en ze denken gewoon dat ze moeten inloggen for service x of y van hun bedrijf.

Die scam methode zie/zag je ook nog vaak genoeg bij nep bank website. Helemaal toen ze allemaal nog een ode kastje gebruikte.
Reageer
phoenix2149 @pepijnm13 mei 2026 13:30
Dat is dus zeker niet zo. Een IT beheerder kan vaak "als jouw" in de backend inloggen daar hebben ze jouw MFA niet voor nodig.

afin, niets is natuurlijk 100% waterdicht, maar dit is toch wel een blunder imho.
Reageer
RenHoek @phoenix214913 mei 2026 12:15
Je komt ook heel ver met de loden pijp methode.. Er is altijd wel ergens aan te komen.
Reageer
Stijnvi @TomPlant012 mei 2026 09:22
Het allerbelangrijkste is dus ook personeel trainen als je veel gevoelige data hebt.
Het Odido lek had gewoon voorkomen kunnen worden, of in ieder geval veel lastiger gemaakt kunnen worden, met goed ingestelde permissions, zoals een limiet moet op het aantal klantgegevens wat een medewerker per dag in kan zien, en een waarschuwing naar IT wanneer een medewerker bovengemiddeld veel data opvraagt.
Reageer
twkr18526 @TomPlant012 mei 2026 11:10
Bij Odido moet je er ook bij vermelden dat veel gegevens niet gestolen hadden kunnen worden, als die tijdig verwijderd werd! Odido is niet alleen slachtoffer.

Zelf was ik ooit lang geleden klant bij T-Mobile. Kreeg een Odido mail dat mijn gegevens gestolen was. Kon m’n account ‘herstellen’ via sms, maar verder niets zien. Ze reageren niet op mijn officiele verzoeken tot inzage van mijn gegevens. Vervolgens wel reacties op verzoeken tot verwijdering van gegevens.
Reageer
MoonRaven @NoTechSupport12 mei 2026 08:55
Je vertrouwt de hackers op hun eer, zie ik :-).
Als blijkt dat ze hun afspraken niet nakomen, zal niemand met ze handelen in de toekomst.
Reageer
amigob2 @MoonRaven12 mei 2026 08:59
Er is ook de mogelijkheid dat een ander het systeem gehackt heeft en de data ook heeft.
Je koopt het af bij de ene hackers groep en de ander staat op en eist ook weer geld.
Reageer
Fishbeast @amigob212 mei 2026 09:19
Klopt, echter weet je dit nooit, totdat degene die je systeem gehackt heeft bij je aanklopt voor, bijvoorbeeld, losgeld.

Ik hoop dus ten zeerste dat ze de bekende lekken asap gedicht hebben.
Reageer
Floort @MoonRaven12 mei 2026 09:23
Er zijn allerlei manieren waarop het mis kan gaan. Sommige gestolen data kan redelijk stiekem worden misbruikt, bijvoorbeeld als de criminelen de data zelf misbruiken om verder in te breken. Het is ook niet ondenkbaar dat inlichtingendiensten (al dan niet met medeweten van de criminelen) meekijken en de voor hun sappige data eruit plukken. Ik denk dan bijvoormeeld aan de verschillende militaire opleidingen die ook onderdeel waren van de hack. Maar ook als men het wel merkt dat afspraken niet zijn nagekomen: rebranding is relatief makkelijk. Het is niet alsof slachtoffer in de KVK gaan opzoeken wie de bestuurders zijn om te kijken of diezelfde criminelen toevallig onder een nieuwe handelsnaam opereren.

Dus ja: reputatie is waardevol voor criminelen. Maar het is niet ondenkbaar dat vertrouwen stilletjes geschonden wordt of dat vertrouwen zo waardevol is dat je er als slachtoffer blind op mag vertrouwen.
Reageer
Ewietje @MoonRaven12 mei 2026 15:13
Over het algemeen is een hacker anoniem en niet terug te leiden tot ervaringen in het verleden en is het doorhandelen van data niet altijd inzichtelijk voor de getroffen partij. De data kan bijvoorbeeld weer worden gebruikt door dezelfde hackers om weer een andere partij te pakken
Reageer
The Zep Man
@NoTechSupport12 mei 2026 08:30
  1. Je kan je beveiliging helemaal op orde hebben en gehacked worden dmv een zero-day.
Hoeveel van dit soort hacks met als doel double extortion worden daadwerkelijk uitgevoerd met 0- day exploits?

Tot zover ik het teruglees, gaat het altijd wel om een combinatie van social engineering, achterstallig onderhoud aan systemen en/of een gebrek aan datahygiëne.

[Reactie gewijzigd door The Zep Man op 12 mei 2026 08:31]

Reageer
SheepSayMeh @NoTechSupport12 mei 2026 08:40
Is het bij de overgrote meerderheid van de hacks niet het geval dat met social engineering en lakse eisen aan identificatie toegang wordt verkregen door partijen met kwaad in de zin? Als je er de verhalen over hoort wordt je bijkans wanhopig over de manier waarop met je gevoelige informatie wordt omgegaan door partijen die claimen je veiligheid als prioriteit te hebben.
Reageer
Tweaker56489 @NoTechSupport12 mei 2026 09:01
Als ze nu laten zien dat ze de gegevens niet alsnog prijsgeven dan kan het zijn dat ze zich aan hun woord houden.

Natuurlijk blijft dit een slechte zaak want het is natuurlijk gewoon afpersing.

Maargoed, je kan je inderdaad nooit goed genoeg beveiligen, er hoeft maar 1 medewerker een verkeerd mailtje te openen.
Reageer
segil @NoTechSupport12 mei 2026 08:59
Je vertrouwt de hackers op hun eer, zie ik :-).
Ja waarom niet eigenlijk? Omdat ze een crimineel zijn hebben ze automatisch geen geweten en geen eer? Ik zie wel vaker dit soort zwart/wit opvattingen voorbij komen. Criminelen kan je niet vertrouwen, omdat ze.... crimineel zijn? En niet criminelen kan je wel vertrouwen? Net zo goed je tussen niet criminelen allerlei gradaties hebt op gebied van eer, vertrouwen, fatsoen, etc, geldt dat ook voor criminelen. Het is niet zo dat wanneer je iets crimineels doet, je automatisch alle goede normen en waarden verliest.

[Reactie gewijzigd door segil op 12 mei 2026 09:00]

Reageer
Heroic_Nonsense @segil12 mei 2026 10:14
Omdat ze een crimineel zijn hebben ze automatisch geen geweten en geen eer?
Eh... nee. Anders ga je geen ziekenhuizen platgooien, en medische gegevens van onschuldige mensen gijzelen om bakken met geld binnen te harken.
Reageer
segil @Heroic_Nonsense12 mei 2026 11:21
Je kunt niet stellen dat dit betekent dat ze geen geweten of eer hebben. Hoogstens in een andere vorm dan jij en ik erop na houden.

We zijn zo gewend om in zwart/wit te denken. Goed vs fout. Een crimineel is fout en daarmee 100% niet goed. Alles wat hij doet is fout en evil en egoïstisch en 100% uit zelf belang. Dat is imho een nogal naïeve manier om hier naar te kijken.

Een crimineel kan prima data stelen voor financieel gewin, en na dat gewin zijn belofte houden en de data terug geven. Het feit dat hij/zij data steelt betekent niet automatisch dat hij/zij die belofte niet zal nakomen. Net zo goed dat een "goede burger" ook niet altijd wel een belofte na zal komen. het is een grijs gebied tussen goed en fout.

ps. nog een kleine correctie: zoveel ik weet heeft ShinyHunters geen ziekenhuis platgegooid. Als je refereert naar het Chipsoft incident, was dat een keuze van de ziekenhuizen zelf, niet een ShinyHunters die systemen offline heeft gehaald. Tenzij je wat anders bedoelt.
Reageer
Heroic_Nonsense @segil12 mei 2026 12:27
Ik denk dat jouw definitie van "geweten" afwijkt van de norm :)

Eer, als in "honour among thieves" kun je nog over bomen, maar een geweten hebben ze niet.

Een ziekenhuis platgooien was een generalisatie van het soort criminelen waartoe ShinyHunters behoort. ShinyHunters zelf deinst er niet voor terug om data van onschuldige mensen op straat te gooien.

Als Chipsoft niet betaald had, hadden medische gegevens van behoorlijk wat Nederlanders op straat gelegen, met verregaande gevolgen. Het zal Shinyhunters het aan hun derriere oxideren welke gevolgen die mensen daarvan ondervinden, dus je kunt echt niet met een strak gezicht beweren dan die lui een "geweten" hebben.
Reageer
Ewietje @segil12 mei 2026 15:19
Een anoniem persoon op het internet die geld kan verdienen aan iets ontraceerbaars? Nee, die vertrouw je niet. De data is al gestolen. De hackers kunnen daarmee doen wat ze willen. Dan moet je er vanuit gaan dat ze daar ook mee doen wat ze willen.

De manier waarop ze in systemen komen is door data te vergaren dmv social engineering he? Dat laat zien dat data waardevol is voor ze. En dat mag ook niet. Waarom denk je dat ze opeens wel stoppen als ze het nog een keer beloven
Reageer
segil @Ewietje12 mei 2026 19:26
omdat als ze nu alsnog die data op het internet zouden gooien, iedereen weet dat hun belofte niets waard is. En andere partijen dus geen losgeld meer betalen.
Reageer
i-chat @NoTechSupport12 mei 2026 10:22
  1. Je kan je beveiliging helemaal op orde hebben en gehacked worden dmv een zero-day.
KAN - maar de grote vraag, was dat ook zo,

of ben jij er zo een die zijn kinderen met vuurwapens laat spelen met als argument, ja als de buurkinders niet opletten bij het oversteken kunnen ze ook worden doodgereden dus wat ik doe is helemaal niet zo riskant.

anders gezegd kun je je ook afvragen waarom canvast überhaupt bestaat, of waarom het niet gewoon on-prem draait en alleen binnen het school-net toegankelijk is. of waarom leerlingen niet gewoon een school-laptop hebben waarop canvast draait maar dan wel achter / in een apparte school-vpn


en canva is nu niet bepaald een gratis dienst, je zou dus ook kunnen zeggen: als jij je als bedrijf op de markt begeeft van data-verwerkers voor kinderen moet je extra bewust zijn van privacy- en security BY DESIGN.
Reageer
Netrunner @NoTechSupport12 mei 2026 11:00
Zou me niets verbazen als ShinyHunters hetzelfde pakketje met data al verkocht heeft aan verschillende inlichtingendiensten.
Reageer
theduke1989 @NoTechSupport12 mei 2026 11:25
daarom dus kijken wat er echt gebeurd.

als de hackers alsnog de data delen met andere dit en dat. betekend dus in de toekomst nooit meer betalen!!!
Reageer
Nielsjuhz @Themperror12 mei 2026 08:25
Betalen ze niet, liggen hun gegevens bloot door nalatigheid van het bedrijf.
Betalen ze wel, dan wordt het op een gegeven moment wel doorberekend door een prijsverhoging.

Hoe dan ook, de klant betaald de prijs wel.
Reageer
The Zep Man
@Nielsjuhz12 mei 2026 08:28
Betalen ze niet, liggen hun gegevens bloot door nalatigheid van het bedrijf.
Betalen ze wel, dan wordt het op een gegeven moment wel doorberekend door een prijsverhoging.
En betalen ze wel, dan liggen de gegevens mogelijk alsnog bloot door nalatigheid van ShinyHunters. Dataretentie is lastig, niet alleen voor veel slachtoffers van double extortion. Dat geldt ook voor criminelen.
Reageer
Themperror @The Zep Man12 mei 2026 09:58
Ik zie hier een aantal paden:
1. De hacker is niet betrouwbaar -> lekt gegevens alsnog (Worst case) N% kans
2. De hacker is wel betrouwbaar -> lekt gegevens niet (best case) N% kans
3. Je betaalt niet -> gegevens worden gelekt -> 100% kans
4. Je betaalt wel -> hacker wordt gehackt -> gegevens worden gelekt N% kans op N% kans..

optie 3 is in dit geval altijd het slechts voor je klandizie, optie 2 is het beste, de kans dat 1 gebeurt is kleiner naarmate de groep bekender wordt (betrouwbaarheid is dan wel een ding), en 4 is eigenlijk best wel heel klein.. want als de hackers gehackt kunnen worden dan kunnen ze ook opgepakt worden..
Reageer
Ewietje @Themperror12 mei 2026 15:29
De aanname dat scenario 1 een kleinere kans heeft dan scenario 2 is niet gebaseerd op heel veel. Je kan ongemerkt heel veel doen met de data, waardoor scenario 1 en 2 versmelten tot "de hacker lijkt wel betrouwbaar -> lekt gegevens stiekem / gebruikt de gegevens in een volgende hack". Misschien is ShinyHunters een Russische inlichtingendienst en is het hele afpersen een manier om mensen het gevoel te geven dat ze veilig zijn. Aan de publieke bewering dat de gegevens vernietigd zijn heb je helemaal niks, maar het staat goed voor de buhne.
Reageer
jeronimoniponi @Themperror12 mei 2026 09:10
Dat is echt te simpel en een gebrek aan ervaring. Er zijn tal van bedrijven waar de beveiliging goed op orde is, maar de menselijke factor is vele malen beter te beinvloeden.
Reageer
lvdgraaff @jeronimoniponi12 mei 2026 09:27
Je brengt het als een tegenstelling. Maar de menselijke factor is onderdeel van de beveiliging. De beveiliging op orde hebben betekent dus ook personeel trainen, juiste rollen en toegang, heldere communicatie lijnen, een cultuur waarin niet in paniek beslissingen worden genomen, etc.
Reageer
Polderviking @lvdgraaff12 mei 2026 10:22
Maar dan ben je nog steeds niet waterdicht.

Hoe beveilig je bijvoorbeeld data tegen een databasebeheerder of systeembeheerder die gewoon beroepshalve bij alle data kan?
Je kan trainen tot je een ons weegt maar de mens blijft gewoon een moeilijk te beheersen factor hier. Zeker als je er één hebt met kwade wil die pas achteraf, wel of misschien zelfs niet, helder wordt.

Zelfs met keurige least privilege is er toch altijd nog ergens iemand met toegang tot veel data die je effectief gewoon moet vertrouwen dat die geen fouten maakt.

[Reactie gewijzigd door Polderviking op 12 mei 2026 10:36]

Reageer
jeronimoniponi @lvdgraaff12 mei 2026 12:50
Dan blijft nog steeds gebruikers die onderdeel worden van een phishing campagne, maar met security awareness (training, regelmatige communicatie) ben je wel voorbereid.
Reageer
Ulysses @Themperror12 mei 2026 08:41
Digitale huisvredebreuk is gewoon een strafbaar feit. Daarmee je ook nog laten afpersen is buigen voor terreur. Het betalen van losgeld is het financieren van criminaliteit dan ook. Ik zie dit niet anders, ondanks dat ik het wel ook begrijp waarom bijvoorbeeld Chipsoft de data zoveel waard vind. Houd je adem niet in, maar wacht gerust de volgende ontwikkelingen rond deze cybercriminele bende eventjes af nog voor een definitief oordeel. Betaald losgeld komt meestal niet terug bij degenen die het (indirect of direct) gefinancierd hebben in ieder geval.
Reageer
SilentLucidity @Themperror12 mei 2026 08:43
Laat die bedrijven het geiste bedrag lekker in een fonds stoppen, dat het geld kan beleggen en uitkeert wanneer mensen door niet-grove nalatigheid slachtoffer worden. Dat lijkt me een logischere 'boete' dan uitbetalen aan een hackersgroep die volgende maand weer precies hetzelfde kan doen.
Reageer
kodak
@Themperror12 mei 2026 08:44
Je klanten betalen de prijs al. Dat geld waarmee ze de criminelen belonen komt uit de inkomsten die gebruikers betalen. En zelfs al is het voorgeschoten, dan nog laat een bedrijf de klanten betalen. Het doel van de bedrijfsvoering is namelijk niet om zelf voor kosten op te draaien maar om winst te maken door klanten te laten betalen.
Reageer
arjankoole
@Themperror12 mei 2026 11:31
een criminele organisaties deelt geen boetes uit, die persen af.

de enige plek waar die knakkers horen is achter tralies.
Reageer
SunnieNL @Themperror12 mei 2026 11:59
Een boete die er voor zorgt dat deze hackers nu de volgende grote 'klant' van hen kunnen aanvallen. In principe ligt door het aantal hacks van de afgelopen paar jaar van iedereen persoon alle informatie al op straat. Dan kun je net zo goed niet meer betalen.
Reageer
Themperror @SunnieNL12 mei 2026 12:37
dat is niet aan het bedrijf om te bepalen.. je hoort je klant gegevens veilig op te slaan, en het risico dat ze op straat komen te laag mogelijk te houden, dat betekent in mijn ogen ook gewoon je chanteurs betalen zodat ze het niet publiekelijk maken..

Als ik iedereens BSN heb, en iemand weet die data in handen te krijgen en zegt..
"Betaal me 10 euro, of ik gooi dit allemaal online"..

Wil jij dan liever dat ik die 10 euro betaal om een kans te hebben dat dit niet online komt, of ben je domweg aan een standpunt gebonden van "nee ik deal niet met criminelen", en gooi je dus iedereens BSN gegarandeerd online?

Ik weet wel wat ik zou doen.. (en wat waarschijnlijk een heleboel mensen willen dat ik doe)
Reageer
SunnieNL @Themperror12 mei 2026 16:23
Zoals ik al zei, al die gegevens liggen van vrijwel elke nederlander al lang op straat. Sommige van mijn gegevens zijn al 3 of 4x uitgelekt. Dus ja, ik blijf bij mijn standpunt dat je dan niet moet betalen.
Reageer
Tweakwondo @Themperror12 mei 2026 08:32
wie bepaald de hoogte van de boeten dan? ik vind het een beetje spelen voor eigen rechter op de misdaden die ze zelf hebben gepleegd.
Reageer
Calypso @Themperror12 mei 2026 09:53
Klanten betalen altijd de prijs. Je noemt zelf het voorbeeld van Odido. Kortgeleden een "verlengaanbod" gekregen, en dit is slechter dan wat ik op dit moment betaal. M.a.w. hun prijzen gaan omhoog. Misschien niet 1 op 1 te herleiden naar de betaling, maar ik kan het ook niet los van elkaar zien.
Reageer
mjl @Themperror12 mei 2026 11:00
Een boete wordt uitgedeeld door een bevoegde instantie, jij gaat je buurman toch ook niet een parkeerboete betalen die hij tijdens het uitlaten van de hond onder je wisser heeft geplakt?
Reageer
Themperror @mjl12 mei 2026 12:33
nee maar ik denk wel dat iedereen ineens netjes parkeerd en betaalt als iedereen een parkeerboete zou kunnen geven (in valide situaties ofc) omdat je pakkans ineens een heel stuk groter is..
Reageer
mjl @Themperror12 mei 2026 17:27
Ja maar dan wel aan de staat en niet aan een of andere oplichter die nep boetes loopt uit te delen.
Reageer
Gamebuster @Themperror12 mei 2026 13:30
Ik zie het als betalen voor gestolen goederen, iets dat illegaal is voor "normale mensen" maar zodra het gaat om grote bedrijven is het opeens legaal.

We moeten losgeld betalen aan criminelen simpelweg verbieden. En die boete bij datalek? Die mag geint worden door de overheid, niet door criminelen.
Reageer
buglife @Themperror12 mei 2026 16:30
Maar welke prijs betalen de klanten? Ik zit meerdere keren in het Odidolek, maar heb er tot op heden weinig last van. Mijn telefoonnummer, bankrekeningnummer, mailadressen en identiteitsbewijs zijn vernieuwd. Ik ben daar in totaal nog geen uur mee beziggeweest, inclusief het afhalen van het identiteitsbewijs en het aanzetten op mijn telefoon dat onbekende nummers mij kunnen bellen. Mijn identiteitsbewijs, telefoon- en bankrekeningnummer vervang ik sowieso al regelmatig.

Enige wat dan nog overblijft zijn adres, geboortedatum en naam, maar die combinatie is nergens gelijk, mede doordat er nog gegevens zijn gelekt die al jarenlang verwijderd hadden moeten zijn.
Reageer
mjl @buglife12 mei 2026 17:27
Ik zit er ook in, niks vernieuwd en nog geen enkele last van gehad.
Reageer
buglife @mjl12 mei 2026 18:19
De oude mailadressen heb ik nog actief staan, maar daar komt sinds een week of drie niets meer binnen. Daarvoor veel ongerichte mails.

Telefoon is ook al een tijdje stil. Op het hoogtepunt kreeg ik tot soms wel 30 binnenkomende oproepen per dag (maar allemaal afgeslagen door mijn telefoon). De laatste twee weken zijn het nog maximaal vijf binnenkomende oproepen.
Reageer
mjl @buglife12 mei 2026 19:37
Het spamfilter zal z’n werk wel doen, telefonisch niet meer ‘international policy’ gehad dan normaal 🤣
Reageer
Matthijs8 @hulseman12 mei 2026 08:32
Interessante take die ik laatst hoorde:
Om dit te voorkomen moet je op internationaal niveau het betalen van losgeld strafbaar maken. Als CEO's hierdoor in de cel kunnen belanden zal er niet meer betaald worden. En daarmee is het dan ook niet meer interessant om te hacken voor losgeld en daarmee het openbaar publiceren van gegevens om het betalen af te dwingen.
Reageer
findftp @Matthijs812 mei 2026 08:45
Het lijkt me dat, wanneer de wereld in staat is om gezamenlijk bindende afspraken te maken, dit probleem niet eens zou bestaan. Je woont dan in een compleet andere realm.
Reageer
svennd @Matthijs812 mei 2026 08:37
enkel het is niet de CEO maar CISO die in de bak vliegt... zie uber
Reageer
wwebbs @hulseman12 mei 2026 10:18
Exact. "Ons is verteld dat geen enkele klant zal worden afgeperst". Eerst steelt een dief je huis leeg, dan betaal je die dief grof geld om de spullen terug te krijgen en daarna geloof je die dief op zijn blauwe ogen dat hij dat niet weer zal doen? Echt, hoe dom kun je zijn!
Reageer
Lampie @hulseman12 mei 2026 08:28
Waarbij er vanuit gegaan wordt (of gehoopt wordt?) dat er niet nog meer backups zijn bij ShinyHunters
Reageer
stijn014 @Lampie12 mei 2026 08:35
maar het is echt waar, pinky swear, allemaal weg. Een criminineel zou toch niet liegen?
Reageer
Step5 @stijn01412 mei 2026 08:49
Kijk hier is een screenshotje

C:\MSDOS\ > format D:

Formatting D:... 100% done.

C:\MSDOS\ >_
Reageer
mjl @Step512 mei 2026 11:03
Partition tabel en file allocation tabel restore en klaar..
Reageer
DutchEZmoder @stijn01412 mei 2026 08:41
Zo'n hackersgroep is prima te vertrouwen. Zou een beetje dom zijn om de data dan alsnog vrij te geven, iedereen ziet dan dat ShinyHunters toch data vrij geeft na betaling. Niemand die daarna gehackt wordt door ShinyHunters zal dan nog gaan betalen.
Reageer
stijn014 @DutchEZmoder12 mei 2026 08:52
Voorbeelden uit het verleden tonen anders aan dat er na betaling toch datasets opduiken in 'het milieu"
Reageer
DutchEZmoder @stijn01412 mei 2026 08:54
Oke dan is het inderdaad niet zo slim om te doen!
Reageer
amigob2 @DutchEZmoder12 mei 2026 09:02
als er onenigheid binnen zo'n groep komt, kun je ze helemaal niet meer vertrouwen, want dan gaat iedereen voor eigen gewin.
Reageer
ArremeR @hulseman12 mei 2026 08:39
We hebben hier een heel mooi gezegde voor: "De gelegenheid maakt de dief.".
Reageer
jongetje @ArremeR12 mei 2026 08:50
De gelegenheid maakt de dief betekend iets heel anders. Dat is als je de deur openzet en een bord in de tuin zet dat er 100euro op tafel ligt.

Maar als je door het raam naar binnenkijkt, die 100euro ziet liggen en vervolgens aanbelt en zegt dat je binnen wilt komen omdat je van de politie bent. En dan als je binnen bent gelaten die 100euro van tafel wegneemt is geen "gelegenheid" maar gewoon diefstal.
Reageer
Lampie @jongetje12 mei 2026 09:11
Beide gevallen zijn diefstal
Reageer
jongetje @Lampie12 mei 2026 09:30
Zeker, maar ik reageerde op Gelegenheid maakt de dief. En en tweede is geen gelegenheid.
Reageer
ArremeR @jongetje12 mei 2026 14:39
Gelegenheid hoeft niet per sé met een groot uithangbord, in deze context is de beveiliging niet op orde waarbij hackers de gelegenheid hebben met de gegevens aan de haal te gaan.

Hoe je de dief doet zich voor als politie erbij haalt in je analogie is mij een raadsel.
Reageer
phoenix2149 @hulseman12 mei 2026 09:05
Belachelijk maar waar.

Het andere verdien model is natuurlijk verkopen van de gegevens, maar dat brengt denk ik niet snel genoeg op anders zou je niet met slachtoffer onderhandelen.

Hoe naar ook voor de slachtoffers van don hack, je moet nooit betalen aan criminelen. Dat vind ik dan wel goed van Odido. Het is bijna een uitnodiging voor andere hackers om ook te proberen.

[Reactie gewijzigd door phoenix2149 op 12 mei 2026 09:07]

Reageer
Aduen @phoenix214912 mei 2026 10:17
Dit heet double extortion. Het gaat er niet om wat het meeste oplevert maar puur profiteren van alle kanten. Geld aftroggelen bij het slachtoffer en vervolgens de data ook nog doorverkopen.
Reageer
Fishbeast @hulseman12 mei 2026 09:17
Ik zie het als leergeld voor het getroffen bedrijf en voor hackers een motivatie om bedrijven te blijven uitdagen om kundig te laten omgaan met de gevoelige informatie die ze in beheer hebben.

Ik heb wel wat gemengde gevoelens over de beweegredenen van hackers, echter lijkt deze partij er niet op uit om het onderste uit de kan te halen. We weten het fijn er niet van, dus wellicht is deze gedachte ook gewoon heel naïef van mij :)
Reageer
magnifor @hulseman12 mei 2026 10:20
Ja en als je kind wordt ontvoerd en je betaalt de daders losgeld dan beloon je ook de criminelen. Altijd makkelijk praten zo vanaf de zijlijn. Men moet een afweging maken en blijkbaar weegt het algeheel belang zwaarder dan principes wat ik mij heel goed kan voorstellen. Had eerlijk gezegd liever dat Odido ook had betaald ipv dat de NAW gegevens van half NL op straat ligt openbaar en bloot.
Reageer
khodamn @hulseman12 mei 2026 11:05
Ik vraag me af wat goedkoper is. losgeld betalen of investeren in veiligheid?


Mocht de eerste het geval zijn kan me goed voorstellen dat bedrijven niet (voldoende) investeren in de veiligheid.
Reageer
theduke1989 @hulseman12 mei 2026 11:24
tja ik alleen dat de hackers dus ook niet meer dit doen bij canvas.

als ze alsnog achteraf data stelen, versprijden hacken etc dan ja is het niet goed.
maar nu wil je dat alle servers, data up and running zijn, dus doe je dit maar!
Reageer
Advanced03 @hulseman12 mei 2026 11:47
Erg makkelijk praten dit. Er is natuurlijk een afweging gemaakt en blijkbaar was dit de beste keuze.
Reageer
ArcticWolf 12 mei 2026 08:22
Je zou toch denken dat de opsporingsdiensten nu wel een keer de personen achter Shinyhunters hebben kunnen linken?
Reageer
Senaxx @ArcticWolf12 mei 2026 08:48
Het is vaak geen vaste groep personenen, er is een wisselende samenstelling.
Reageer
lenwar
@ArcticWolf12 mei 2026 08:55
Tsja. Afhankelijk van waar ze huisvesten, maakt dat niets uit. Goede kans dat het een groep is die verspreid over de wereld is, en dat ze elkaar ook niet eens goed kennen 😊
Reageer
karma4 @ArcticWolf12 mei 2026 14:18
Mag niet inbreuk op privacy
Reageer
wjn 12 mei 2026 08:23
Ik ken Canvas niet (oude generatie), maar staan daar dan persoonsgegevens in, dat het zo belangrijk is?

Zover ik lees is het voor lesmateriaal, cijferlijsten etc., daar zouden dan toch geen persoonsgegevens in moeten staan. En wie vind het interessant te lezen dat Jantje of Klaasje wat voor cijfer dan ook voor welke opdracht dan ook gekregen heeft?

Ik vermoed dan, dat dat ook wel bijgedragen heeft aan een gunstige oplossing (laten we het maar zo noemen).
Reageer
GurbieV @wjn12 mei 2026 08:39
Jantje of klaasje is ook al een persoonsgegeven.

Plus dat aantekeningen over of diploma's behaald zijn of niet ook zo'n gegeven is. En aantekeningen als Jan van der Putten is zeer ongemotiveerd.

Kun je een leuke database van opbouwen...
Reageer
Znorkus @wjn12 mei 2026 09:09
Cijfers die je haalde zijn ook persoonsgegevens. De kleur van de lucht is geen persoonsgegeven. Je schoenmaat wel, waar je woont, waar je studeerde, welk cijfer je haalde, of je een broodje gezond kocht bij de snackbar en hoe laat en hoe je betaalde en wat je aanhad en wel OS je mobieltje had op dat moment : allemaal persoonsgegevens.
Reageer
EvaluationCopy @wjn12 mei 2026 10:03
Het betreft allemaal persoonsgegevens. Waar het om gaat hier is de classificatie van vertrouwelijkheid.

Laag: je schoenmaat, je voorletters.

Middel: je voorletters in combinatie met je achternaam, je adres

Hoog: je bankrekeningnummer, financiële transacties, je stemgedrag, ben je lid van een vakbond

Extreem: seksuele voorkeuren, zorgdossiers, je dna etc

Het is maar een voorbeeld van een verdeling.
Reageer
macfreak1306 12 mei 2026 08:14
Nou, dan zullen ze wel gewoon betaald hebben. Ik geloof niet dat ze deze criminelen ineens een geweten hebben weten in te praten. Alleen willen ze dat natuurlijk niet openlijk zeggen, want dat is weer extra reputatieschade. Zou jammer zijn als dit inderdaad zo blijkt te zijn, want is weer een goed voorbeeld voor Shinyhunters waarom ze hiermee zouden door gaan, want het loont.
Reageer
xxs @macfreak130612 mei 2026 08:25
Het loont zolang bedrijven en instanties hun beveiliging niet op orde hebben. Ik kan geen hack herinneren die via een zero day heeft plaatsgevonden waar zoveel data gestolen is. Daaruit kan je de conclusie trekken dat het grotendeels patch en security beleid is wat deze problemen veroorzaakt.
Reageer
joeri1 @xxs12 mei 2026 08:43
Je kunt nooit 100% je beveiliging op orde hebben. Je loopt altijd wel enkele patches achter. Er is altijd wel een medewerker die nog niet de anti-phishing cursus gevolgd heeft. Dit soort gasten hebben alle tijd van de wereld om jouw systeem binnen te dringen. Vervolgens gaan we ze daar ook nog voor belonen door ze salaris te betalen, zonder 100% garantie dat de data later alsnog niet uitlekt.
Reageer
nutty @joeri112 mei 2026 09:45
"Er is altijd wel een medewerker die nog niet de anti-phishing cursus gevolgd heeft""

En daar gaat het fout!

Dit soort zaken kun en moet je WEL op orde hebben, en dan blijft er inderdaad een heel klein gaatje open. Maar zaken als een cursus niet gevolgt hebben, of protocollen niet volgen is je beveiliging NIET op orde hebben. En dan dien je zelf te dokken, en niet iemand anders, zoals de belasting-betaler.

De rode draad door het hele hack gebeuren is nalatigheid!

[Reactie gewijzigd door nutty op 12 mei 2026 09:47]

Reageer
joeri1 @nutty12 mei 2026 10:19
De rode draad door het hele hack gebeuren is nalatigheid!
Dat is wel heel kort door de bocht en dan begrijp je niet hoe de IT wereld werkt. Ik draai nu al een tijdje mee en heb op verschillende plekken gezeten. Ik kan je vertellen dat hoe goed men ook haar best doet, er altijd wel iets aan te merken is op de beveiliging. Beveiliging is niet iets was je eenmalig goed opzet, het is organisch en iedere dag loop je achter de feiten aan. Het helpt ook niet mee dat systemen steeds complexer worden. Er kan zeker spraken zijn van nalatigheid, alleen is het vaak een gevecht tegen entiteiten (ShinyHunters) die al het geduld en tijd van de wereld hebben.
Reageer
CAPSLOCK2000
@nutty12 mei 2026 13:04
Dit soort zaken kun en moet je WEL op orde hebben, en dan blijft er inderdaad een heel klein gaatje open. Maar zaken als een cursus niet gevolgt hebben, of protocollen niet volgen is je beveiliging NIET op orde hebben.
Nee, dat is de verkeerde mentaliteit. Perfectie bestaat niet en zeker niet bij mensen. Als beveiligingsbeleid er van uit gaat dat het wel zo is dan ga je van een koude kermis terugkomen.

Veiligheid is geen absolute waarheid maar een proces. Veiligheid vereist dat je er juist vanuit gaat dat er fouten gemaakt worden, dat mensen lui en nalatig zijn, dat er nog onbekende bugs en gaten in je systemen zitten, dat er af en toe een patch niet geinstalleerd wordt, dat er af en toe een wachtwoord uitlekt of op een foute link geklkt wordt, dat er een rotte appel in dienst is die je data dooverkoopt, etc, etc etc.

Ik zeg wel eens dat geen enkel datalek ooit afhankelijk is geweest van één fout, er gaan altijd meerdere dingen tegelijk fout. Er zouden namelijk altijd meerdere overlappende lagen van beveiliging moeten zijn zodat en gat in één laag wordt opgevangen door een andere laag. Als je maar één laag hebt dan is dat je eerste fout.

(Natuurlijk is de praktijk altijd lelijker dan de theorie en is het makkelijk om in het algemeen te praten, maar het gaat hier vooral om mentaliteit).

[Reactie gewijzigd door CAPSLOCK2000 op 12 mei 2026 13:05]

Reageer
Heroic_Nonsense @joeri112 mei 2026 09:40
En ook medewerkers die de cursus wel gevolgd hebben, kunnen niet 100% van de tijd 100% alert zijn. Dat is biologisch niet mogelijk.
Reageer
Heroic_Nonsense @xxs12 mei 2026 09:39
Bold statement.

Hoe beveilig je een bedrijf tegen een zeroday?
Reageer
xxs @Heroic_Nonsense12 mei 2026 14:34
Niet, dat is wat ik zeg, alle bekende grote aanvallen komen NIET door 0-days. Dus dat zou betekenen dat configuratiefouten en/of patch beleid de grote oorzaken zijn. Los van menselijke fouten.
Reageer
Heroic_Nonsense @xxs12 mei 2026 15:15
Heb je daar een bron voor?

Binnenkomen middels phishing is 1, maar privilege elevation is iets heel anders.
Reageer
Corporate_Greed 12 mei 2026 08:14
Dom, zo dom :( Het is weer zo'n kosten-baten analyse van kapitalisme, ze zullen meer verdienen door te betalen en door gewoon as-is door te gaan en over een maand zijn mensen het toch vergeten (a la Odido). Volgende keer betalen ze evengoed wel, dus.

[Reactie gewijzigd door Corporate_Greed op 12 mei 2026 08:16]

Reageer
fjjl @Corporate_Greed12 mei 2026 08:25
Ergens is het juist wel prettig dat een onderneming toch besluit te betalen om er voor te zorgen dat de data zo min mogelijk wordt verspreid (stukje verantwoordelijkheid die Odido bijvoorbeeld niet nam). Het is natuurlijk geen garantie, maar gehackt worden en vervolgens niet betalen waardoor alle data sowieso op straat komt te leggen is voor de personen waarvan die data is, nog erger.

Ze zullen daarnaast echt wel hun beveiliging moeten verbeteren. Het is in het nieuws gekomen, willen ze nieuwe contracten met onderwijsinstellingen afsluiten zal dat zeker verbeterd moeten worden.
Reageer
Eren 12 mei 2026 08:27
Wel leuk dat iedereen meteen “schande” en “dom” roept, maar niemand denkt aan de leerlingen en die berichten. Ik heb zelf mensen zien zeggen dat ze voor de lol door de Odido-dump zaten te browsen. Waarom zouden andere leerlingen of kwaadwillenden nu niet door berichten gaan kijken waarin gevoelige informatie met docenten is gedeeld, en dat vervolgens tegen iemand gebruiken?

En laten we eerlijk zijn: als zulke gegevens echt openbaar waren geworden, hadden de gevolgen voor leerlingen en docenten enorm kunnen zijn. Persoonlijke gesprekken, gevoelige informatie of privéproblemen hadden dan zomaar door anderen bekeken en misbruikt kunnen worden.

Nu is het vooral afwachten of de data daadwerkelijk verwijderd is en niet later alsnog opduikt. ShinyHunters is inmiddels een bekende naam; als ze hierover zouden liegen, zal waarschijnlijk niemand in de toekomst nog betalen.

[Reactie gewijzigd door Eren op 12 mei 2026 08:28]

Reageer
hafp @Eren12 mei 2026 09:37
Ik vind het lastig om in te zien hoeveel gevoelige informatie het betreft. HU gebruikt Canvas bij mij enkel om de lesstof te delen maar mijn opdrachten zoals bedrijfsrapportage e.d. upload ik in Gradework. Mijn cijfers zitten in Osiris. Mijn betaal gegevens lopen via de financiële administratie ook buiten Canvas om.

Andere instellingen doen het wellicht anders, vandaar dat ik aan geef dat ik het moeilijk vind om de omvang van de gevoelige informatie in te zien maar als het net als bij mij enkel om lesstof gaat dan zeg ik 'lek die hap maar'.
Reageer
oompieiserweer 12 mei 2026 09:08
slimste keus!
Reageer
Quiller 12 mei 2026 09:56
Hoog tijd dat 'onderhandelen' met criminelen zoals hackers in het strafrecht komt. Deze werkwijze zorgt dat het lucratief is voor die criminelen.
Reageer
Keypunchie 12 mei 2026 11:29
EENS GEGEVENS, BLIJFT GEGEVENS
Reageer
arnova 12 mei 2026 11:55
Leuk dat er betaald is maar zo hou je het verdienmodel in stand. En ik zou het nog kunnen begrijpen als je 100% zekerheid hebt dat het NOOIT uitlekt. Maar dat weet je simpelweg niet. Voor hetzelfde geldt verkoopt men die dataset alsnog over een paar jaar.
Reageer

Om te kunnen reageren moet je ingelogd zijn