1 dag geleden
4
Ethisch hacker en beveiligingsonderzoeker Sijmen Ruwhof moest „wel even slikken”, toen hij eerder deze week vernam dat de onderwijssoftware Canvas is aangevallen door hackerscollectief Shinyhunters. Want, zo zegt hij, het betreft een „supergigantisch” datalek, „een van de grootste wereldwijd”.
Shinyhunters, ook verantwoordelijk voor de Odido-hack, zou gegevens van 275 miljoen studenten hebben buitgemaakt van ongeveer negenduizend onderwijsinstellingen wereldwijd. Ook tientallen Nederlandse instellingen werden gehackt, aldus het collectief, waarvan niet bekend is wie erachter zitten.
Mijn vermoeden is dat de gegevens voor het overgrote deel niet gevoelig zijn
Op de lijst van Shinyhunters, ingezien door NRC, worden onder andere de Universiteit van Amsterdam, Tilburg University, Avans Hogeschool en Drenthe College genoemd als slachtoffers. Dat wil overigens niet zeggen dat ze daadwerkelijk werden gehackt, want nog niet iedere instelling heeft dat bevestigd.
Op Canvas, een op veel onderwijsinstellingen gebruikte online leeromgeving, staat studiegerelateerde informatie. Instructure, het Amerikaanse bedrijf achter Canvas, heeft maandag laten weten dat onder meer de namen, e-mailadressen, studentnummers en onderlinge correspondentie van studenten, leraren en andere medewerkers werden buitgemaakt.
Kwantitatief indrukwekkend
Werden gevoelige gegevens gestolen? Dat valt wel mee, vermoedt Ruwhof. Hij noemt de hack vooral kwantitatief indrukwekkend. De gegevens lijken hem „niet heel heftig”, maar de onderlinge berichten zijn „mogelijk wel een stuk ernstiger”. Maar, zegt hij: „Mijn vermoeden is dat de gegevens voor het overgrote deel niet gevoelig zijn omdat het een schoolsysteem is.”
Volgens Shinyhunters zou de hack „miljarden” berichten van studenten bevatten. Bovendien stelt het collectief nog „meer data” te hebben ontvreemd, zonder dat nader te specificeren. Instructure zelf zegt dat er geen wachtwoorden, geboortedata, identiteitsbewijzen, bankgegevens of andere bijzondere persoonsgegevens zijn gelekt.
Momenteel hebben onderwijsinstellingen vooral hun handen vol aan het informeren van studenten over de roof en het in kaart brengen van de omvang en impact, zo blijkt uit een rondgang van NRC. Een woordvoerder van de Hogeschool Utrecht laat bijvoorbeeld weten dat de instelling zich „zorgen” maakt, omdat onzeker is om welke gegevens het gaat en hoeveel mensen van de Hogeschool Utrecht door de hack werden getroffen. De woordvoerder laat weten dat een aangifte is gedaan bij de politie en een melding is gemaakt bij de Autoriteit Persoonsgegevens.
Ook de zeven geraakte universiteiten hebben zo’n melding gedaan, blijkt uit een gezamenlijk statement. Ze zeggen te begrijpen dat de hack vragen kan oproepen bij studenten en medewerkers, die terecht kunnen bij hun eigen universiteit. De instellingen vragen hun studenten „waakzaam te zijn voor mogelijke phishingmails naar aanleiding van het datalek”.
Betalen?
In vele opzichten doet de hack denken aan de Odido-hack van eerder dit jaar, alleen het doelwit is opmerkelijk. Waarom koos Shinyhunters voor een onderwijssoftwarebedrijf? Dat lijkt volgens Ruwhof een willekeurige keuze, maar dat valt niettemin te rijmen met de werkwijze . Shinyhunters is namelijk „heer en meester” op het gebied van het „afpersen van bedrijven met datalekken”. En dan vooral van „grote bedrijven die veel persoonsgegevens beheren”.
Volgens de beveiligingsonderzoeker worden vooral bedrijven de dupe die gebruikmaken van SalesForce-software, waarmee klantrelaties worden beheerd. Zowel Odido als Instructure gebruikt dat programma. Naast SalesForce is ook bij een ander systeem van Instructure ingebroken, waar waarschijnlijk de miljarden buitgemaakte berichten in waren opgeslagen, aldus Ruwhof. Grote verschil tussen de twee hacks is volgens Ruwhof de gevoeligheid van de gegevens.
Ik zou onderwijsinstellingen aanraden om een datasample op te vragen bij de hackersgroep
Verder spoort Ruwhof betrokken partijen aan te onderzoeken wat voor data werden gelekt. „Instructure zegt te weten om wat voor informatie het gaat, maar Shinyhunters stelt dat er meer is”, zegt hij. „Ik zou onderwijsinstellingen aanraden een datasample op te vragen bij de hackersgroep, zodat je weet welke informatie precies is gelekt en om hoeveel berichten het gaat.”
Betalen raadt Ruwhof in dit geval af. Hij is „in principe” tegen het „betalen van criminelen”, waar hij alleen bij hoge uitzondering voorstander van is als de gegevens „supergevoelig” zijn. Instructure lijkt overigens niet te gaan betalen, vermoedt Ruwhof. Omdat Shinyhunters zich na de oorspronkelijke deadline van 6 mei nu ook tot individuele onderwijsinstellingen heeft gericht, lijkt het hackerscollectief hun heil bij die instellingen te zoeken. Deze hadden tot 7 mei om zich te melden bij de hackers, om te voorkomen dat hun gegevens openbaar zouden worden gemaakt.
Lees ook
Tijdens de cyberaanval op de TU waren ook de draaiboeken voor crises onbereikbaar. ‘Gelukkig zaten die in ons hoofd’
:format(webp)/s3/static.nrc.nl/images/gn4/stripped/data132513273-ffd341.jpg)
:format(jpeg):fill(f8f8f8,true)/s3/static.nrc.nl/taxonomy/06b57cb-AanZet_itemafbeelding.png)
/s3/static.nrc.nl/wp-content/uploads/2026/05/06115015/060526CUL_2032604031_medusaDRAGEND.jpg)
English (US) ·