ShinyHunters hackt 275 miljoen studenten en docenten via Canvas en dreigt met publicatie op 6 mei
Salt Lake City, maandag, 4 mei 2026.
De beruchte hackersgroep ShinyHunters heeft een enorme cyberaanval uitgevoerd op onderwijsplatform Canvas. Ze stalen gegevens van 275 miljoen studenten, docenten en onderwijsmedewerkers van ongeveer 9000 scholen wereldwijd, inclusief Nederlandse universiteiten zoals UvA, VU en EUR. De hackers eisen losgeld en dreigen alle gestolen data te publiceren als moederbedrijf Instructure niet voor 6 mei betaalt. Among the stolen data zijn namen, e-mailadressen, studentnummers en privéberichten tussen gebruikers. ShinyHunters, bekend van eerdere aanvallen op Odido en Ticketmaster, claimen 3,65 terabyte aan data te hebben buitgemaakt via een inmiddels gepatchte kwetsbaarheid.
Nederlandse universiteiten mogelijk getroffen door grootste onderwijshack ooit
De cyberaanval van ShinyHunters op Canvas treft Amerikaanse onderwijsinstelling Instructure, maar ook Nederlandse universiteiten gebruiken massaal dit platform [1][2][3]. Erasmus Universiteit Rotterdam, Universiteit van Amsterdam, VU Amsterdam, Hogeschool Utrecht en Tilburg University zijn allemaal Canvas-gebruikers [1][3]. Een woordvoerder van de EUR zei tegen ANP dat nog niet duidelijk is of hun universiteit onderdeel uitmaakt van de hack [1]. Het Amerikaanse moederbedrijf Instructure bevestigde op 1 mei dat criminelen achter de aanval zitten en schakelde forensische experts in [4][5]. De hackers stalen namen, e-mailadressen, studentnummers en persoonlijke berichten tussen gebruikers [1][2][3]. Geen wachtwoorden, geboortedata of bankgegevens zijn volgens Instructure gestolen [1][2][3].
ShinyHunters zet ultieme druk op Instructure met deadline van morgen
ShinyHunters plaatste op 3 mei een dreigbericht op hun darkweb-site: ‘Instructure Holdings, dit is een laatste waarschuwing. Laat van je horen voor 6 mei, anders gaan we gegevens lekken’ [3]. De hackersgroep claimt 3.65 terabyte aan data te hebben gestolen van bijna 9000 scholen wereldwijd [4][6]. Dit is dezelfde groep die eerder Odido hackte - toen betaalde de telecomprovider niet en werden alle gegevens gelekt [1][3]. ShinyHunters bestaat uit slechts enkele personen uit Canada en Frankrijk [1]. Ze richten zich specifiek op bedrijven die diensten leveren aan andere organisaties, waardoor ze in één klap toegang krijgen tot veel systemen [1]. In Nederland zijn ze berucht van hacks op Odido (2026), Ticketmaster (2024) en Pornhub (2025) [1].
Onderwijs staat onder vuur: Canvas-gebruikers moeten toegang opnieuw autoriseren
Instructure heeft uit voorzorg alle toegangssleutels voor Canvas vervangen [2][4][5]. Hierdoor moeten alle gebruikende organisaties hun toegang opnieuw autoriseren voor tools en content [2][4]. Dit leidt volgens het bedrijf tot ‘beperkte verstoringen’ voor klanten [2]. De hack begon op 30 april toen Instructure meldde dat tools die afhankelijk zijn van API-sleutels verstoord waren [4][5]. Op zondag 3 mei was de toegang tot Canvas Data 2 hersteld [4][5]. Het bedrijf heeft beveiligingspatches uitgebracht en houdt Canvas-systemen nu scherper in de gaten [2]. Deze aanval toont hoe kwetsbaar onderwijsplatforms zijn geworden - in 2025 ervoeren Amerikaanse scholen meer dan 3000 cyberaanvallen per week [6].