Nieuws
image

Onderzoekers: ShinyHunters heeft gestolen Canvas-data niet vernietigd

vrijdag 15 mei 2026, 13:12 door Redactie, 15 reacties

Meerdere onderzoekers geloven niet dat de criminele groepering ShinyHunters de gegevens van miljoenen studenten en docenten die bij onderwijsplatform Canvas werden buitgemaakt heeft vernietigd. Instructure, het bedrijf dat Canvas aanbiedt, maakte onlangs bekend dat het een deal met de criminelen had gesloten om publicatie van de gestolen data te voorkomen. Het bedrijf stelde dat het 'shred logs' van de groep had ontvangen waaruit bleek dat de gegevens waren vernietigd.

Canvas is een web-gebaseerd Learning Management System (LMS) waarmee onderwijsinstellingen lesmateriaal aan studenten kunnen aanbieden. Studenten kunnen via Canvas werk indienen, berichten uitwisselen en samenwerken. Canvas-leverancier Instructure claimt dat wereldwijd zevenduizend onderwijsinstellingen gebruik van Canvas maken en het wereldwijd meer dan tweehonderd miljoen gebruikers heeft.

ShinyHunters meldde onlangs dat het de gegevens van 275 miljoen Canvas-gebruikers in handen heeft. De aanvallers dreigden de gestolen gegevens openbaar te maken als Instructure geen losgeld zou betalen. Instructure meldde dat er een deal is gesloten met de criminelen, maar heeft niet laten weten of er losgeld is betaald. Onderzoekers denken dat de criminelen nog steeds over de gegevens beschikken.

"Ransomwaregroepen moeten op z'n minst niet de gegevens publiceren waarvan ze beweren dat ze zijn verwijderd, anders zal niemand ze meer in de toekomst betalen, maar dit is gedaan met de wetenschap dat de data waarschijnlijk niet is verwijderd", zegt onderzoeker Max Smeets van ETH Zurich tegenover The Register. De website sprak met meerdere onderzoekers over de geclaimde vernietiging van de gestolen dataset.

Cynthia Kaiser, die twintig jaar voor de FBI werkzaam was en nu verbonden is aan het Halcyon Ransomware Research Center, stelt dat niemand die ransomwaregroepen bestudeert gelooft dat de gegevens echt zijn vernietigd. "ShinyHunters heeft een verleden van het recyclen, doorverkopen en opnieuw gebruiken van gestolen data bij campagnes - data waarvan ze beweerden dat die van eerdere inbraken waren, verschenen maanden en jaren later op criminele fora." Kaiser verwacht dat de gestolen Canvas-data voor phishingaanvallen zal worden gebruikt. Ze krijgt bijval van onderzoeker Allan Liska van securitybedrijf Recorded Future. "Of ik geloof dat ze de data hebben vernietigd? Nee. Het zijn criminelen en tuig."

Reacties (15)
Reageer met quote
Vandaag, 13:55 door Anoniem
Per definitie bestaan er geen betrouwbare criminelen en dus moet het protocol zijn na een hack: beloon de criminelen niet. Misdaad mag nooit lonen. Dat is wat OdidO wel goed heeft gedaan, de criminelen niet betalen.
Reageer met quote
Vandaag, 14:17 door Anoniem
Natuurlijk hebben ze dat niet gedaan want het is tuig. Zo logisch als wat.
Reageer met quote
Vandaag, 15:03 door Anoniem
Door Anoniem: Natuurlijk hebben ze dat niet gedaan want het is tuig. Zo logisch als wat.

Indedaad helemaal mee eens! Behoorlijk naïef als je denk dat je een crimineel kan vertrouwen. Geld betalen aan dit soort tuig zou verboden moeten worden. Erg blij dat Odido dit niet heeft gedaan. En ja ik ben en blijf gewoon klant van Odido.
Reageer met quote
Vandaag, 15:05 door Anoniem
"waarschijnlijk niet", "denken van niet". Dit bericht heeft net zo veel waarde als Shinyhunters die beweren dat het verwijderd is. De tijd zal uitwijzen wie er gelijk had. Dit is gewoon verkapte marketing voor de security bedrijven tenzij ze de Shinyhunter infra binnen gedrongen zijn en de data met eigen ogen hebben gezien.
Reageer met quote
Vandaag, 15:30 door Anoniem
Volgens mij is de FBI, evenals de EU, erop uit om de samenleving (politiek) zo ver te krijgen om het betalen van losgeld te verbieden, dus m.b.v. nieuwe wetgeving illegaal te maken.
Dan krijgt de FBI (en de EU) nog méér te doen - en wie betaalt dat? De belastingbetaler.

Of bedrijven/ organisaties losgeld betalen is echter hun eigen zaak: het is hun eigen geld.
De FBI wil dus de beschikking van organisaties/ bedrijven over hun eigen geld beperken.
Dat vind ik een slechte zaak.

Mensen mogen immers ook gokken (geld kwijtraken).
Zolang ze niet in de problemen komen (geld is op of nog erger: schulden gecreëerd) wordt dat alleen maar aangemoedigd.
Al ooit van speculatief gedrag van actoren op de financiële markten gehoord? Dat gaat om heel wat grotere bedragen dan losgeldsommen.
Dat mag allemaal wèl en wordt zelfs gefinancierd: schulden maken om daarmee te speculeren is een erkende tak van economisch handelen.

Mij bekruipt het gevoel van meten met twee maten.
Reageer met quote
Vandaag, 15:41 door Anoniem
Door Anoniem: Per definitie bestaan er geen betrouwbare criminelen en dus moet het protocol zijn na een hack: beloon de criminelen niet. Misdaad mag nooit lonen. Dat is wat OdidO wel goed heeft gedaan, de criminelen niet betalen.
wat Odido ook gedaan heeft is zeggen dat je 'in principe niet zoveel kan met de gelekte gegevens', maar dat is een leugen.
Je kan een heleboel kwaad doen met die gegevens, en dan zal Odido natuurlijk niet thuis geven qua schadevergoeding want 'niet aantoonbaar dat het komt door het lek'.

Onderaan de streep zijn de echte slachtoffers de mensen van wie de gegevens zijn gelekt, en de eigenaar van de gegevens hebben ze op straat laten zetten door niet te betalen.

Als Odido had betaald, was er tenminste een klein kansje geweest dat de Shinyhunters het niet hadden gelekt. Nu is het sowieso 100% gelekt.
Reageer met quote
Vandaag, 15:42 door Anoniem
Door Anoniem: "waarschijnlijk niet", "denken van niet". Dit bericht heeft net zo veel waarde als Shinyhunters die beweren dat het verwijderd is. De tijd zal uitwijzen wie er gelijk had. Dit is gewoon verkapte marketing voor de security bedrijven tenzij ze de Shinyhunter infra binnen gedrongen zijn en de data met eigen ogen hebben gezien.
Nee dit is gewoon een kritische professionele blik erop. We gaan niet uit in deze beveiliging wereld van het meest gunstige scenario we gaan uit van het slechtste. En tenzij je 24/7 bewijs hebt als in traceerbare logs van alle criminelen hier aan gebonden kan je ook niet stellen dat de data weg is of niet is weggesluist.

Dus je argument deel van tenzij ze de Shinyhunter infra binnen gedrongen zijn en de data met eigen ogen hebben gezien klopt als een bus maar wel tegen je eigen argument.
Reageer met quote
Vandaag, 15:53 door Anoniem
Door Anoniem: Volgens mij is de FBI, evenals de EU, erop uit om de samenleving (politiek) zo ver te krijgen om het betalen van losgeld te verbieden, dus m.b.v. nieuwe wetgeving illegaal te maken.
Dan krijgt de FBI (en de EU) nog méér te doen - en wie betaalt dat? De belastingbetaler.

Of bedrijven/ organisaties losgeld betalen is echter hun eigen zaak: het is hun eigen geld.
De FBI wil dus de beschikking van organisaties/ bedrijven over hun eigen geld beperken.
Dat vind ik een slechte zaak.

Mensen mogen immers ook gokken (geld kwijtraken).
Zolang ze niet in de problemen komen (geld is op of nog erger: schulden gecreëerd) wordt dat alleen maar aangemoedigd.
Al ooit van speculatief gedrag van actoren op de financiële markten gehoord? Dat gaat om heel wat grotere bedragen dan losgeldsommen.
Dat mag allemaal wèl en wordt zelfs gefinancierd: schulden maken om daarmee te speculeren is een erkende tak van economisch handelen.

Mij bekruipt het gevoel van meten met twee maten.
het is een simpel concept: meewerken aan diefstal is wat dit is. Er is informatie gestolen en je betaalt de criminelen.
Dat is de reden waarom het wettelijk gezien niet toegestaan is danwel zou mogen zijn.
Heeft verder niets met een samenzwering van de FBI of de EU te maken.

Gewoon even dat scheermes gebruiken, dan kom je vanzelf uit bij de simpelste werkelijkheid.
Reageer met quote
Vandaag, 15:55 door Anoniem
Door Anoniem: Natuurlijk hebben ze dat niet gedaan want het is tuig. Zo logisch als wat.
Dit is een emotionele redenering. Niet gebaseerd op bewijs, aangetoonde feiten.
Reageer met quote
Vandaag, 16:19 door Anoniem
Van de private burger weet men alles en van een cybercrimineel niets.

Ik dacht dat total surveillance er was om o.a. criminelen te kunnen oppakken,
maar jammer, dan heb ik weer verkeerd gedacht.
Reageer met quote
Vandaag, 16:43 door Anoniem
Men kan het beste gehackte data als openbaar beschouwen, als ze het nu niet lekken, dan lekken ze het later wel.
Reageer met quote
Vandaag, 17:45 door Anoniem
De enige manier om tegen dit soort aanvallen te vechten is niet betalen. Het is een vorm van oorlog en dus een probleem van ons allemaal. Als het kwaad eenmaal is geschied laat ze de data dan maar lekker online zetten. Veel succes ermee. Beter is natuurlijk dat die maffia niet binnen kan dringen maar zolang het ze nog lukt is het enige wat we kunnen doen NIET betalen. Met het geld dat je uitspaart kan je eventueel slachtoffers compenseren.
Reageer met quote
Vandaag, 19:06 door Anoniem
Wat fijn dat ShinyHunters nu nog meer geld heeft om nieuwe apparatuur te komen om nog beter anderen te hacken.
Criminaliteit loont!

En al die mensen die vinden dat betalen aan criminelen slim is: wat een enorme losers, die zijn zelf crimineel?
Alsof je daar ook maar iets mee beschermt.
Losgeld moet ook weer doorberekend aan de klant!

Dus wat mij betreft botcotten we iedereen die onzorgvuldig omgaat met gegevensbeveiliging!
Reageer met quote
Vandaag, 19:09 door Anoniem
Door Anoniem:
Door Anoniem: Natuurlijk hebben ze dat niet gedaan want het is tuig. Zo logisch als wat.
Dit is een emotionele redenering. Niet gebaseerd op bewijs, aangetoonde feiten.
En alleen feiten zeggen ook niets.
Noem het dan "evidence based", zoals dat zo hip is tegenwoordig. Telt ook.
Reageer met quote
Vandaag, 19:12 door Anoniem
Door Anoniem:
Door Anoniem: Volgens mij is de FBI, evenals de EU, erop uit om de samenleving (politiek) zo ver te krijgen om het betalen van losgeld te verbieden, dus m.b.v. nieuwe wetgeving illegaal te maken.
Dan krijgt de FBI (en de EU) nog méér te doen - en wie betaalt dat? De belastingbetaler.

Of bedrijven/ organisaties losgeld betalen is echter hun eigen zaak: het is hun eigen geld.
De FBI wil dus de beschikking van organisaties/ bedrijven over hun eigen geld beperken.
Dat vind ik een slechte zaak.

Mensen mogen immers ook gokken (geld kwijtraken).
Zolang ze niet in de problemen komen (geld is op of nog erger: schulden gecreëerd) wordt dat alleen maar aangemoedigd.
Al ooit van speculatief gedrag van actoren op de financiële markten gehoord? Dat gaat om heel wat grotere bedragen dan losgeldsommen.
Dat mag allemaal wèl en wordt zelfs gefinancierd: schulden maken om daarmee te speculeren is een erkende tak van economisch handelen.

Mij bekruipt het gevoel van meten met twee maten.
het is een simpel concept: meewerken aan diefstal is wat dit is. Er is informatie gestolen en je betaalt de criminelen.
Die redenering vind ik geen hout snijden. Er wordt ook losgeld betaald voor mensen die ontvoerd worden.
En ik geef mijn geld af als een overvaller mij met een mes/ wapen bedreigt, om mijn leven te redden.
Dan hoor je niemand protesteren dat ik meewerk aan diefstal (of aan moord als ik mijn geld niét afgeef).
Dus "meewerken" met criminelen is helemaal geen simpel concept, het is eerder complex. Sommigen stellen zelfs dat het verwaarlozen van de bescherming van je data (of eigendommen) ook meewerken aan diefstal is (uitlokking).
Dus het betalen van criminelen is als zodanig nog geen overtreding.
Als dat wèl het geval was dan zou je slachtoffers van nep-webwinkels, die hun geld hebben overgemaakt en nooit iets ontvangen ook kunnen beschuldigen van het meewerken aan criminaliteit, het rijker maken van criminelen.

Het gaat om noodweer - context dus.
Als je goede redenen hebt, wat een kwestie van belangen afwegen is, dan maak je dieven rijker.
Bedrijven kunnen ook uit noodweer handelen om een faillissement of reputatieschade of een waardevermindering van hun aandelen op de beurs te voorkomen.
Ik zie geen verschil.
Dat is de reden waarom het wettelijk gezien niet toegestaan is danwel zou mogen zijn.
Nee, dat is niet de reden; jij gebruikt een te simpel concept.
Heeft verder niets met een samenzwering van de FBI of de EU te maken.
Gewoon even dat scheermes gebruiken, dan kom je vanzelf uit bij de simpelste werkelijkheid.
Dat heet niet samenzwering, maar gewenst, nog te realiseren beleid.
Zowel FBI als EU hebben het officiële advies om géén losgeld te betalen voor ontvreemde data dus het is helemaal niet vergezocht om te opperen dat ze graag een wet zouden hebben die dat verbiedt.
Is ook bestand tegen het scheermes van Ockham.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Full Stack Training 2026 Salt Road: Compromised Components