Computerbeveiliging - Hoe je bad guys buiten de deur houdt

ShinyHunters inbraak via Free-for-Teacher

Reageer met quote
10-05-2026, 13:19 door meidoorn, 5 reacties
Laatst bijgewerkt: 10-05-2026, 13:20
Op basis van wat nu publiek bekend is, lijkt het erop dat de hackersgroep ShinyHunters is binnengekomen via een kwetsbaarheid of fout in de zogeheten “Free-for-Teacher”-omgeving van Instructure, het bedrijf achter Canvas. Maar: de exacte technische methode is nog niet openbaar gemaakt.

Dit is wat er wél bekend is:

1. Instructure heeft bevestigd dat de aanvallers “een issue related to Free-for-Teacher accounts” hebben misbruikt.
2. Free-for-Teacher is een gratis, zelfbedieningsversie van Canvas waarmee docenten of gebruikers zonder volledige schoollicentie delen van Canvas kunnen gebruiken of testen.

Na de aanval heeft Instructure die hele Free-for-Teacher-service tijdelijk offline gehaald.
De hackers kregen blijkbaar toegang tot gebruikersdata zoals namen, e-mails, student-ID’s en Canvas-berichten. Volgens Instructure zijn wachtwoorden en betaalgegevens níet buitgemaakt.

Wat vermoedelijk gebeurde:

1. Er zat een beveiligingslek of verkeerde configuratie in die Free-for-Teacher-omgeving.
2. Omdat die omgeving gekoppeld was aan bredere Canvas-systemen of API’s, konden de aanvallers verder bewegen binnen de infrastructuur.
3. Daarna hebben ze data geëxporteerd en later zelfs sommige loginpagina’s aangepast (defacement).

Krebs on Security en persbureau Reuters melden dat verschillende Universiteiten overwegen ShinyHunters te betalen om te voorkomen dat de gestolen data wordt gepubliceerd.

https://www.reuters.com/legal/litigation/schools-reach-out-hackers-canvas-breach-hits-us-classrooms-source-says-2026-05-08/
Reacties (5)
Reageer met quote
10-05-2026, 13:34 door Anoniem
Misschien is een verbod op het betalen van losgeld zo'n gek idee nog niet.
Reageer met quote
10-05-2026, 14:59 door Anoniem
Zit er sociaal-wetenschappelijk onderzoek van een student of promovendus Artificiele Intelligentie bij, eentje waar we in Nederland liever vanaf zijn, en daarom maar via de route het buitenland nemen om erover te gaan publiceren?

Laat die hunters uitzoeken welke wetenschappelijke stroming(en) in Nederland dit is of zijn. Komen we ook weer eens iets te weten. Vroeger was het heel gebruikelijk, zaken waar je in Nederland niet over mocht publiceren, via het buitenland te doen. Ging echt niet alleen over het Koningshuis, of AIVD, maar in dit geval waarschijnlijk ook wel.

Anonymous had twee gezichten. Een kwaadaardige, maar ook een strijdbaar behulpzame. Toen was ICT en hacken nog iets dat door de beroepsgroep zelf begeleidt werd. Even afwachten dus. AIVD-MIVD had geen last van Anonymous, die waren alleen maar lastig voor sommige groepen. Maar als de hunters burgers van Nederland doelbewust de financiele afgrond injaagt, en geopenbaard wordt hoe, dan wordt het een ander verhaal natuurlijk.
Reageer met quote
12-05-2026, 13:27 door Anoniem
Door Anoniem: Misschien is een verbod op het betalen van losgeld zo'n gek idee nog niet.
Dan verkopen hackers de data op het darkweb zoals dat toch al gebeurt i.p.v het te deleten als ze een reputatie hebben. Dan liggen je gegevens mischien zelfs op straat en heb je het niet eens door.

Beter idee, doe correcte informatie beveiliging.
Reageer met quote
12-05-2026, 15:37 door Anoniem
Door Anoniem:
Door Anoniem: Misschien is een verbod op het betalen van losgeld zo'n gek idee nog niet.
Dan verkopen hackers de data op het darkweb zoals dat toch al gebeurt i.p.v het te deleten als ze een reputatie hebben. Dan liggen je gegevens mischien zelfs op straat en heb je het niet eens door.

Beter idee, doe correcte informatie beveiliging.

Ik denk dat Shiny Hunters de data waar ze in geinteresseerd zijn allang hebben veilig gesteld voor zichzelf, en rest mogen universiteiten terugkopen.
Reageer met quote
12-05-2026, 16:06 door _R0N_
Door Anoniem:
Door Anoniem: Misschien is een verbod op het betalen van losgeld zo'n gek idee nog niet.
Dan verkopen hackers de data op het darkweb zoals dat toch al gebeurt i.p.v het te deleten als ze een reputatie hebben. Dan liggen je gegevens mischien zelfs op straat en heb je het niet eens door.

Beter idee, doe correcte informatie beveiliging.

Die reputatie is zo dun als vloeipapier.
ShinyHunters is geen vaste groep maar wisselende hackers die onder die naam werken. De "eerlijke" hacker van vandaag kan morgen vervangen zijn door een die de data zegt te verwijderen maar alsnog verkoopt.

Ik geloof er niets van dat ze data verwijderen, ook wanneer er betaald is.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Full Stack Training 2026 Salt Road: Compromised Components