Vrije Universiteit koppelt systemen los na Canvas-hack

vrijdag, 8 mei 2026 (08:40) - Techzine

In dit artikel:

De Vrije Universiteit Amsterdam heeft uit voorzorg alle systemen losgekoppeld die via het onderwijsplatform Canvas lopen, nadat hackersgroep ShinyHunters donderdagavond beweerde toegang te hebben tot de Canvas-omgevingen van meerdere Nederlandse universiteiten. De groep stelt Instructure, de maker van Canvas, onder druk en geeft het bedrijf tot dinsdag 12 mei om te reageren; anders dreigen zij met publicatie van de gestolen gegevens. De VU heeft het incident ook gemeld bij toezichthouder Autoriteit Persoonsgegevens en waarschuwt dat de afkoppeling vrijdag gevolgen kan hebben voor het onderwijs.

Volgens koepelorganisatie Universiteiten van Nederland (UNL) zijn in totaal zeven universiteiten getroffen: de VU, Universiteit van Amsterdam, Erasmus Universiteit Rotterdam, Tilburg University, TU/e, Universiteit Maastricht en Universiteit Twente. De melding van de hackers verscheen korte tijd zichtbaar op Canvas-pagina’s van onder meer de VU en UvA.

ShinyHunters heeft eerder naam gemaakt bij grote datalekken, onder meer rond Salesforce en Red Hat, en was ook betrokken bij een recent Nederlands lek bij telecombedrijf Odido. De groep claimt wereldwijd enorme hoeveelheden data in bezit te hebben; Instructure meldt dat Canvas ruim 30 miljoen gebruikers heeft, terwijl de hackers 275 miljoen records opeisen.

Instructure bevestigde dat er persoonsgegevens zijn buitgemaakt: onder meer namen, e-mailadressen, studentnummers en privéberichten tussen studenten en docenten. Wachtwoorden en financiële gegevens zouden niet zijn gestolen. Als tegenreactie heeft Instructure securitypatches uitgerold, extra monitoring ingesteld en applicatiesleutels geroteerd; klanten moeten API-toegang opnieuw autoriseren. Het onderzoek loopt nog.

Voor betrokken studenten en medewerkers blijft het risico dat criminelen de gelekte informatie gebruiken—bijvoorbeeld voor phishing of identiteitsfraude—ondanks dat sommige gevoelige gegevens niet zijn meegenomen. De onmiddellijke gevolgen omvatten mogelijk onderwijsstoring door de loskoppeling en administratieve hinder; verdere schade en de uiteindelijke omvang van het lek moeten uit het lopende onderzoek blijken. Het advies is alert te zijn op verdachte berichten en de communicatie van de eigen instelling te volgen.