Bij een grootschalige hack op onderwijsplatform Canvas zijn gegevens van zo’n 275 miljoen studenten, docenten en medewerkers gestolen, meldt het Amerikaanse moederbedrijf Instructure. Er zijn ook gegevens van tientallen Nederlandse onderwijsinstellingen gestolen. Dat is te lezen in een lijst met alle getroffen onderwijsinstellingen die door hackersgroep Shinyhunters is gedeeld op het dark web.
ShinyHunters brak in op een database van Canvas-producent Instructure, en maakte namen, e-mailadressen, studentnummers en berichten buit die gebruikers onderling hebben gebruikt. De hackersgroep ShinyHunters is ook bekend van de cyberaanval op Odido. Uit een door Shinyhunters op het darkweb vrijgegeven lijst die door BNR is ingezien, blijkt dat bij de hack ook 44 Nederlandse instellingen zijn betrokken.
Wereldwijd zouden zo’n 9000 scholen zijn geraakt. Dat meldt ransomware.live, een website die berichten van hackers deelt. ShinyHunters heeft de aanval daar opgeëist en dreigt, net als bij Odido, met ‘betalen of lekken’. Destijds betaalde Odido niet, waarna de gegevens werden gelekt. Instructure kreeg tot 7 mei 2026 om een keuze te maken.
Onder de gestolen gegevens zijn namen, studentnummers en e-mailadressen, zegt moederbedrijf Instructure. Ook zouden persoonlijke berichten die door Canvas-gebruikers naar elkaar zijn verstuurd zijn gestolen. Volgens Instructure zijn er geen wachtwoorden, geboortedata, identiteitsbewijzen of bankgegevens buitgemaakt.