Nieuws
image

'Universiteiten in gesprek met ShinyHunters over betalen van losgeld'

zondag 10 mei 2026, 13:35 door Redactie, 21 reacties
Laatst bijgewerkt: Vandaag, 09:05

Verschillende universiteiten en onderwijsinstellingen zijn in gesprek met de criminele groepering ShinyHunters over het betalen van losgeld, om zo publicatie van de gestolen data van studenten en docenten te voorkomen. Dat melden persbureau Reuters en it-journalist Brian Krebs op basis van anonieme bronnen. De groep wist in te breken op het onderwijsplatform Canvas, van leverancier Instructure. Vervolgens werden gegevens van naar verluidt 275 miljoen gebruikers gestolen.

Canvas is een web-gebaseerd Learning Management System (LMS) waarmee onderwijsinstellingen lesmateriaal aan studenten kunnen aanbieden. Studenten kunnen via Canvas werk indienen, berichten uitwisselen en samenwerken. De criminelen eisten losgeld, anders zouden ze de gestolen data via hun eigen website publiceren. Op de eigen website meldde ShinyHunters ook dat Instructure niet openstond voor onderhandelingen. De groep deed een oproep aan onderwijsinstellingen om individueel over het betalen van losgeld te onderhandelen en zo publicatie te voorkomen. Het lukte ShinyHunters ook om een melding met dezelfde boodschap te tonen bij mensen die op de Canvas-omgeving wilden inloggen.

Instructure zegt op een informatiepagina dat hierbij misbruik is gemaakt een kwetsbaarheid met betrekking tot support tickets in de Free for Teacher-omgeving. Deze omgeving is inmiddels uitgeschakeld. Wat de kwetsbaarheid precies inhoudt is niet bekendgemaakt. Wel zegt Instructure dat het Indicators of Compromise (IOC's) met klanten zal delen. Daarnaast zegt Instructure na kritiek van klanten dat het eerder met meer informatie en een reactie had moeten komen. Het bedrijf bleef dagenlang stil, waardoor klanten niet wisten waar ze aan toe waren. Instructure meldt dit nu anders te zullen doen. Nederlandse universiteiten hebben hun Canvas-omgeving inmiddels offline gehaald.

Reacties (21)
Reageer met quote
Gisteren, 14:06 door Anoniem
Er zitten natuurlijk ook promovendi en buitenpromovendi bij universiteiten. Die hebben ook een lestaak, om de hoogleraar waar ze promoveren te ontlasten in zijn/haar belangwekkende taken zoals wetenschappelijke tijdschriften vullen, en het werk van collega's nakijken.

Ik zou er niet voor betalen, nog meer van die proefschriften gebaseerd op bronnen die niet controleerbaar zijn en door moeten voor officiele geschiedschrijving, zoals dat van BVD-er Hansselman, en een Nijmeegse professor, waar de naam me van ontschoten is.

Hansselman promoveerde bij van de Berg van de CyberSecurityRaad, dus dan weet je als wel betaald wordt welke middelen hiervoor vrijgemaakt zijn.

Middelen die beter besteed zouden kunnen worden. Maar dat is een persoonlijke mening.
Reageer met quote
Gisteren, 14:28 door Anoniem
niet betalen.

niet alleen omdat dit de misdaad in stand houdt.
ook omdat eigenlijk alle gegevens al op straat liggen door de laatste heel grote hacks

geen enkel bedrijf kan meer claimen dat jij een contract hebt (terwijl jij daar niets van weet)
een kopietje paspoort of rijbewijs, een bank afschrift, etc, etc kan geen reden meer zijn te denken dat juist jij dat contract hebt afgesloten.
immers, al die gegevens liggen al op straat. Niet van iedereen, maar in totaal van voldoende mensen.
Elk bedrijf zal iets anders moeten hebben om jou te authenticeren voor het aangaan van een contract.
Reageer met quote
Gisteren, 15:16 door Anoniem
Totaal 8000 gedupeerde onderwijs instellingen, en een paar Nederlandse onderwijsinstellingen gaan in gesprek met ShinyHunters en de rest van de 8000?
Reageer met quote
Gisteren, 16:35 door johanw
Door Anoniem: Totaal 8000 gedupeerde onderwijs instellingen, en een paar Nederlandse onderwijsinstellingen gaan in gesprek met ShinyHunters en de rest van de 8000?
Die vinden de morele high ground belangrijker dan hun gebruikers en "betalen niet aan criminelen".
Reageer met quote
Gisteren, 18:34 door Anoniem
Financieren van criminaliteit, deelname aan criminele organisatie lijken me bij betaling wel van toepassing.
de kans dat de criminelen alsnog publiceren is ook groot.

En hoezo gebruikers beschermen, dat kon TOT de overval plaatsvond... Alles daarna is mosterd na de maaltijd.
het heeft heel weinig met morele highground te maken.

Waarom zien universiteiten het niet tot hun taak om wat mensen te laten promoveren op onderzoek naar betrouwbare privacy vriendelijke en security by design omgeving.
Reageer met quote
Gisteren, 18:39 door Anoniem
Door Anoniem: Totaal 8000 gedupeerde onderwijs instellingen, en een paar Nederlandse onderwijsinstellingen gaan in gesprek met ShinyHunters en de rest van de 8000?

Heeft HAN een AI-tussenuurtje voor studenten klaargezet? Al iets over de achtergrond van deze groep bekend? Kom op AIVD, dit is maatschappelijk ontwrichtend, maar als je nu weer met een beer of een klimaatverschijnsel met Windows komt, dan bel ik je huisarts, want die verstaat ook Russisch. Er is behoorlijk wat op universiteiten en hogescholen aan de hand, maar laten we nou eerst even "Onder Professoren" aan de jeugd uit leggen, voordat legacy media weer hun eigen kliek (en bankrekeningen) bevoorrecht worden. Ik heb hier ook nog een ander boek van Hermans liggen, maar dat kent iedereen al.
Reageer met quote
Gisteren, 23:27 door johanw
Door Anoniem:Waarom zien universiteiten het niet tot hun taak om wat mensen te laten promoveren op onderzoek naar betrouwbare privacy vriendelijke en security by design omgeving.

Dat gebeurt ook hoor. Maar ja, de stap van theorie naar praktijk kan groot zijn, en iets dat op papier mooi is kan in de praktijk onwerkbaar zijn.
Reageer met quote
Vandaag, 06:25 door Anoniem
Door Anoniem: Totaal 8000 gedupeerde onderwijs instellingen, en een paar Nederlandse onderwijsinstellingen gaan in gesprek met ShinyHunters en de rest van de 8000?
Eh, waar heb je zien staan dat Nederlandse onderwijsinstellingen met ShinyHunters zouden praten? Ik zie dat niet in het artikel hier staan, en ook niet bij Krebs of Reuters. Er staat evenmin dat dat niet zo is, maar voor zover ik zie zijn daar geen uitspraken over gedaan en weten we dus domweg niet hoe dat zit.
Reageer met quote
Vandaag, 07:39 door Anoniem
De verschrikkelijke inertie tegenover cybercrime in welke vorm dan ook is schrijnend.

AI. in verkeerde handen heeft het alleen maar nog erger gemaakt.

Horen we de overheid hier wel over? Nee, natuurlijk niet, die ontregelt mee.

Samen met Big Tech en de tandenloze waakhonden.
Reageer met quote
Vandaag, 08:43 door Drs Security en Privacy
Het is wel weer typisch dat hier, zonder bewijs, geclaimd wordt dat ook Nederlandse universiteiten vast wel in onderhandeling zijn met de cyber criminelen en gaan betalen.
Om er vervolgens schande van te spreken.
Ten eerste is daar geen bewijs voor.
Ten tweede, is het duidelijk dat de zogenaamde security exprts *kug* op dit forum geen flauw idee hebben wat er komt kijken bij een dusdanige afweging en wat de redenen kunnen zijn om toch te betalen.
Tuurlijk het helpt het verdien model in stand te houden en voorkomen is beter dan genezen, maar daar hebben de getroffen instellingen nu niets meer aan.
Reageer met quote
Vandaag, 09:10 door Anoniem
De internetmaffia heeft ons in de tang en we vinden het inmiddels al niet eens meer bijzonder. Verdediging, opsporing en berechting, doen we daar wel wat mee of is het losgeld betalen en over tot de orde van de dag?
Reageer met quote
Vandaag, 09:21 door Anoniem
Door Drs Security en Privacy: Het is wel weer typisch dat hier, zonder bewijs, geclaimd wordt dat ook Nederlandse universiteiten vast wel in onderhandeling zijn met de cyber criminelen en gaan betalen.
Om er vervolgens schande van te spreken.
Ten eerste is daar geen bewijs voor.
Ten tweede, is het duidelijk dat de zogenaamde security exprts *kug* op dit forum geen flauw idee hebben wat er komt kijken bij een dusdanige afweging en wat de redenen kunnen zijn om toch te betalen.
Tuurlijk het helpt het verdien model in stand te houden en voorkomen is beter dan genezen, maar daar hebben de getroffen instellingen nu niets meer aan.

Je hoeft geen cybersecurity expert te zijn om te zien hoe dom de Universiteiten momenteel bezig zijn.
Reageer met quote
Vandaag, 09:41 door Anoniem
Als ze hiermee deze hackerspartij willen ontmaskeren, zodat ze hun leven lang de schade willen gaan vergoeden, dan juich ik het toe. Zolang het 100% garantie heeft! Aas uitstrooien om een vis te vangen!
Reageer met quote
Vandaag, 09:42 door Anoniem
Door Anoniem: niet betalen.

niet alleen omdat dit de misdaad in stand houdt.
ook omdat eigenlijk alle gegevens al op straat liggen door de laatste heel grote hacks

geen enkel bedrijf kan meer claimen dat jij een contract hebt (terwijl jij daar niets van weet)
een kopietje paspoort of rijbewijs, een bank afschrift, etc, etc kan geen reden meer zijn te denken dat juist jij dat contract hebt afgesloten.
immers, al die gegevens liggen al op straat. Niet van iedereen, maar in totaal van voldoende mensen.
Elk bedrijf zal iets anders moeten hebben om jou te authenticeren voor het aangaan van een contract.

De ouderwetse fysieke controle.... Terug naar lokale kantoren en medewerkers waar je langs moet komen om zaken te regelen. Wat je niet meer moet willen in deze tijd is dingen digitaal regelen en al helemaal niet als dit nadelige gevolgen kan hebben voor de burger.
Reageer met quote
Vandaag, 09:47 door Anoniem
Door Anoniem: Financieren van criminaliteit, deelname aan criminele organisatie lijken me bij betaling wel van toepassing.
de kans dat de criminelen alsnog publiceren is ook groot.

En hoezo gebruikers beschermen, dat kon TOT de overval plaatsvond... Alles daarna is mosterd na de maaltijd.
het heeft heel weinig met morele highground te maken.

Waarom zien universiteiten het niet tot hun taak om wat mensen te laten promoveren op onderzoek naar betrouwbare privacy vriendelijke en security by design omgeving.

Ik maak mij eigenlijk geen zorgen over het publiceren van deze gegevens nadat er betaalt is. In ieder geval niet openbaar.
Ik ben wel mening dat zij deze gegevens al lang onderhands hebben verkocht voor misbruik op andere vlakken.

Zij verkopen deze gegevens waarschijnlijk niet eens onder hun eigen naam en onder de noemer van deze hack om te voorkomen dat dit wordt opgemerkt.
Daarnaast wil ik best geloven dat zij deze gegevens niet lekker nadat er is betaalt op grote schaal. Maar ik ga niet geloven dat zij deze gegevens ook netjes verwijderen. In ieder geval is dat natuurlijk nooit meer controleerbaar want digitale kopietjes zijn zo gemaakt....
Reageer met quote
Vandaag, 09:51 door -Peter-
Door Anoniem:
Door Drs Security en Privacy: Het is wel weer typisch dat hier, zonder bewijs, geclaimd wordt dat ook Nederlandse universiteiten vast wel in onderhandeling zijn met de cyber criminelen en gaan betalen.
Om er vervolgens schande van te spreken.
Ten eerste is daar geen bewijs voor.
Ten tweede, is het duidelijk dat de zogenaamde security exprts *kug* op dit forum geen flauw idee hebben wat er komt kijken bij een dusdanige afweging en wat de redenen kunnen zijn om toch te betalen.
Tuurlijk het helpt het verdien model in stand te houden en voorkomen is beter dan genezen, maar daar hebben de getroffen instellingen nu niets meer aan.

Je hoeft geen cybersecurity expert te zijn om te zien hoe dom de Universiteiten momenteel bezig zijn.

En jij weet het allemaal precies?

Met ruim 30 jaar ervaring in cybersecurity verbaas ik me nog steeds over de "kennis" van nieuwelingen in dit vakgebied.

Peter
Reageer met quote
Vandaag, 11:40 door Anoniem
Door johanw:
Door Anoniem:Waarom zien universiteiten het niet tot hun taak om wat mensen te laten promoveren op onderzoek naar betrouwbare privacy vriendelijke en security by design omgeving.

Dat gebeurt ook hoor. Maar ja, de stap van theorie naar praktijk kan groot zijn, en iets dat op papier mooi is kan in de praktijk onwerkbaar zijn.
Ik denk dat de ICT (monocultuur) dwars ligt want die zoeken altijd naar gesloten dure oplossingen.
Reageer met quote
Vandaag, 11:41 door Anoniem
Door Anoniem:
Door Drs Security en Privacy: Het is wel weer typisch dat hier, zonder bewijs, geclaimd wordt dat ook Nederlandse universiteiten vast wel in onderhandeling zijn met de cyber criminelen en gaan betalen.
Om er vervolgens schande van te spreken.
Ten eerste is daar geen bewijs voor.
Ten tweede, is het duidelijk dat de zogenaamde security exprts *kug* op dit forum geen flauw idee hebben wat er komt kijken bij een dusdanige afweging en wat de redenen kunnen zijn om toch te betalen.
Tuurlijk het helpt het verdien model in stand te houden en voorkomen is beter dan genezen, maar daar hebben de getroffen instellingen nu niets meer aan.

Je hoeft geen cybersecurity expert te zijn om te zien hoe dom de Universiteiten momenteel bezig zijn.
Zet het OM er ook maar bij dan.
Reageer met quote
Vandaag, 14:11 door karma4
Universiteiten en dan over losgeld van openbare gestolen gegevens gaan willen onderhandelen.
Ik weet niet wat de toelatingseis voor bestuur van universiteiten is maar er gaat iets grondig mis in rationeel denken.
Reageer met quote
Vandaag, 14:23 door karma4
Door johanw:
Door Anoniem:Waarom zien universiteiten het niet tot hun taak om wat mensen te laten promoveren op onderzoek naar betrouwbare privacy vriendelijke en security by design omgeving.

Dat gebeurt ook hoor. Maar ja, de stap van theorie naar praktijk kan groot zijn, en iets dat op papier mooi is kan in de praktijk onwerkbaar zijn.
Linux/Unix moet eigen van de grond af opnieuw ontworpen worden. Het is by design niet veilig te krijgen.
De reden daarvoor is een te beperkte visie bij universiteiten hoe zoiets zou moeten. DAC is bedacht met de professor en zijn eigen groep als de bepalende wereld.
Reageer met quote
Vandaag, 16:38 door johanw
Door Anoniem: Als ze hiermee deze hackerspartij willen ontmaskeren, zodat ze hun leven lang de schade willen gaan vergoeden, dan juich ik het toe. Zolang het 100% garantie heeft! Aas uitstrooien om een vis te vangen!

De vorige universiteit die betaald heeft, die van Maastricht, kreeg hun betaalde bitcoins terug. Die waren ondertussen flink duurder geworden en ze hebben er een aardige winst op gemaakt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Full Stack Training 2026 Salt Road: Compromised Components