Canvas-datalek: Instructure betaalt ShinyHunters om data te verwijderen

maandag, 11 mei 2026 (12:26) - Techzine

In dit artikel:

Onderwijsinstellingen proberen rechtstreeks met hackersgroep ShinyHunters te overleggen nadat het digitale leerplatform Canvas (ontwikkeld door Instructure) werd getroffen door een omvangrijke datadiefstal en afpersingspoging. ShinyHunters beweert ongeveer 6,65 terabyte aan informatie te hebben buitgemaakt van bijna 9.000 scholen en universiteiten wereldwijd; beveiligingsonderzoekers noemen mogelijk gegevens van circa 275 miljoen studenten, docenten en medewerkers.

De gestolen data zou onder meer namen, e-mailadressen, studentnummers en privéberichten binnen Canvas omvatten; volgens Instructure zijn er tot nu toe geen aanwijzingen dat wachtwoorden, financiële gegevens, geboortedata of officiële identificatienummers zijn gelekt. De aanval speelde zich af midden in tentamenweken, waardoor verstoringen directe gevolgen hadden voor deadlines en examens. Studenten en personeel zagen bij het inloggen tijdelijk een afpersingsbericht van ShinyHunters; de normale loginpagina was kort vervangen door een oproep om rechtstreeks te onderhandelen.

Instructure haalde daarop Canvas, Canvas Beta en Canvas Test tijdelijk offline en zegt de aanval te hebben ingedamd. Het bedrijf gaf aan dat de aanvallers een kwetsbaarheid in de Free-for-Teacher-omgeving misbruikten; die dienst is tijdelijk uitgeschakeld. ShinyHunters publiceerde eerder een lijst met ongeveer 1.400 getroffen instellingen en stelde dat individuele scholen konden onderhandelen om publicatie van hun data te voorkomen. Een oorspronkelijke betaaldeadline van 6 mei werd later verschoven naar 12 mei, wat duidt op lopende gesprekken; bronnen melden dat meerdere universiteiten inmiddels contact hebben gezocht met de groep.

Opmerkelijk was dat verwijzingen naar Instructure later van de afpersingssite verdwenen — iets wat in de wereld van datadiefstal soms gebeurt bij betalingen of onderhandelingen, al is daar geen officiële bevestiging van. De situatie blijft in ontwikkeling terwijl instellingen, Instructure en beveiligingsonderzoekers proberen vast te stellen welke gegevens precies zijn getroffen en hoe verdere schade te voorkomen. ShinyHunters heeft eerder vergelijkbare datalekken opgeëist, wat de urgentie voor getroffen onderwijsinstellingen verhoogt.