Canvas-maker betaalt hackers om datalek van 275 miljoen studenten stil te houden
Nederland, dinsdag, 12 mei 2026.
Instructure sloot een geheime deal met hackergroep ShinyHunters om te voorkomen dat gestolen data van Nederlandse en wereldwijde studenten openbaar werd gemaakt. De hack trof 9.000 onderwijsinstellingen tijdens de examens.
Nederlandse studenten ontsnappen aan datalek na geheime deal
Nederlandse universiteiten en hogescholen ademden vandaag op na nieuws dat hun studentendata veilig blijft. Het Amerikaanse bedrijf Instructure, eigenaar van Canvas, sloot gisteren een akkoord met hackergroep ShinyHunters [1]. De deal zorgt ervoor dat gestolen gegevens van 275 miljoen studenten en docenten wereldwijd niet openbaar worden gemaakt [2][3]. In Nederland gebruiken zeven universiteiten Canvas voor contact tussen studenten en docenten, evenals hogescholen en mbo-instellingen [1]. De hack trof op 29 april 8.809 onderwijsinstellingen wereldwijd, inclusief 44 Nederlandse instellingen [4][5]. ShinyHunters had een ultimatum gesteld tot 12 mei - precies vandaag - om de data vrij te geven als er geen akkoord kwam [3][4].
Examens verstoord door tweede cyberaanval tijdens kritieke periode
De timing kon niet slechter. De hackers sloegen toe tijdens de drukste examenperiode van het jaar [2]. Op 7 mei voerde ShinyHunters een tweede aanval uit en verving inlogpagina’s met dreigboodschappen [4][5]. Studenten die hun laatste opdrachten wilden inleveren, kregen plots een ransomware-bericht te zien [5]. Verschillende universiteiten moesten examens uitstellen of opdrachten later laten inleveren [1]. Google-zoekopdrachten naar ‘canvas hacked’ stegen met 1000 procent op 8 mei [3]. De combinatie van beide aanvallen zorgde voor meer dan 1 miljoen zoekopdrachten over Canvas-problemen [3]. Bayton University in Texas stelde vrijdag hun tentamens uit vanwege de storing [3].
Bedrijf excuseert zich voor gebrekkige communicatie over losgeld
Instructure-topman Steve Daly bood vandaag publieke excuses aan voor de slechte communicatie tijdens de crisis [6][7]. ‘Je verdiende meer consistente communicatie van ons en die hebben we niet geleverd. Daar bied ik mijn excuses voor aan’, aldus Daly [6][7]. Het bedrijf bevestigde digitaal bewijs te hebben ontvangen dat alle gestolen data is vernietigd [1][6]. Of er daadwerkelijk losgeld is betaald, houdt Instructure geheim [1][2]. Amerikaanse onderwijsmedia melden echter dat er wel degelijk een betaling plaatsvond [2]. De gehackte data omvatte gebruikersnamen, e-mailadressen, studentnummers en privéberichten tussen gebruikers [1][6]. Instructure benadrukt dat kerndata zoals tentamens, cijfers en wachtwoorden niet zijn gestolen [6]. ShinyHunters is dezelfde groep die eerder dit jaar telecomprovider Odido hackte [1].
Bronnen
- www.rtl.nl
- www.vrt.be
- mashable.com
- en.wikipedia.org
- www.reddit.com
- www.abc.net.au
- www.instructure.com