Nieuws
image

Minister: aantal Nederlandse slachtoffers van Canvas-hack onbekend

donderdag 25 juni 2026, 10:01 door Redactie, 2 reacties

Het is op dit moment nog onbekend hoeveel Nederlandse studenten slachtoffer zijn geworden van de hack bij onderwijsplatform Canvas en welke gegevens van hen zijn gestolen. Dat stelt minister Letschert van Onderwijs in een reactie op Kamervragen. De criminele groep ShinyHunters, die eerder bij Odido de gegevens van meer dan zes miljoen mensen wist te stelen, claimde een aantal weten geleden dat het de gegevens van 275 miljoen Canvas-gebruikers in handen had.

Canvas is een web-gebaseerd Learning Management System (LMS) waarmee onderwijsinstellingen lesmateriaal aan studenten kunnen aanbieden. Studenten kunnen via Canvas werk indienen, berichten uitwisselen en samenwerken. Canvas-leverancier Instructure claimt dat wereldwijd zevenduizend onderwijsinstellingen gebruik van Canvas maken en het wereldwijd meer dan tweehonderd miljoen gebruikers heeft. Ook Nederlandse universiteiten en andere onderwijsinstellingen maken er gebruik van.

De criminelen dreigden de gestolen data op internet te publiceren tenzij er losgeld zou worden betaald. Vervolgens liet Instructure weten dat het een deal met de criminelen had gesloten om publicatie van de gestolen data te voorkomen. Het bedrijf stelde dat het 'shred logs' van de groep had ontvangen waaruit bleek dat de gegevens waren vernietigd. Iets wat beveiligingsexperts betwijfelen.

Het datalek zorgde voor Kamervragen van D66. De partij wilde onder andere weten hoeveel Nederlandse studenten zijn getroffen. "De MBO-raad, UNL en VH hebben mij laten weten dat op dit moment alleen bekend is welke instellingen getroffen zijn. Zij geven aan dat Instructure, de leverancier van Canvas, nog niet heeft aangegeven welke gegevens precies zijn buitgemaakt", aldus de minister. Letschert voegt toe dat onderwijsinstellingen in contact met Instructure staan om hier meer duidelijkheid over te krijgen. "Dit betekent dat er op dit moment nog geen goede schatting kan worden gemaakt door de instellingen van hoeveel studenten, docenten en onderwijsmedewerkers naar schatting zijn getroffen."

De Onderwijsminister laat verder weten dat Nederlandse universiteiten en andere onderwijsinstellingen hebben aangegeven dat ze niet door ShinyHunters zijn benaderd. "Instructure heeft gemeld een akkoord te hebben gesloten met de hackers en dat de buitgemaakte gegevens zouden zijn vernietigd. Instructure zegt hiervan bewijs te hebben ontvangen. Of er losgeld is betaald door Instructure is mij en de instellingen niet bekend. Het is aan ieder bedrijf om een eigen afweging te maken. Het dringende advies vanuit de overheid is om geen losgeld te betalen."

Reacties (2)
Reageer met quote
Vandaag, 11:10 door Anoniem
De AVG eist dat passende technische en organisatorische maatregelen worden genomen om de gegevens te beschermen. Dat wordt, heb ik begrepen, bewust zo vaag omschreven omdat wat passend is nu anders kan zijn dan een jaar geleden. Het idee is dat je beveiligingsmaatregelen worden aangepast aan de situatie. Als die verslechtert dan moet je strenger beveiligen.

Dit is het zoveelste reusachtige datalek dat zo groot is omdat er allerlei administraties worden uitbesteed aan leveranciers die, zo werkt ons economische systeem, de neiging hebben om groot te worden. We hebben zelfs een grote in Nederland gehad waar dingen als klantonderzoeken werden uitbesteed aan allerlei bureaus die hun hebben en houden allemaal bij dezelfde grote leverancier ergens op de achtergrond plaatsten, en daar ging het mis. Een plek met zoveel gegevens bij elkaar is een zeer aantrekkelijk doelwit voor criminelen en er zullen dan ook criminelen bereid zijn om er zeer geavanceerde aanvallen op uit te voeren, die veel kennis, inspanning en tijd vergen. Zie daar maar tegenop te beveiligen. En ik ben er lang niet van overtuigd dat al die leveranciers op de achtergrond waar die gegevensconcentraties zitten dat zelfs maar proberen op een manier die strookt met hoe groot de gegevensconcentratie bij hun is.

Die grote concentraties van gegevens zijn daardoor op zichzelf grote kwetsbaarheden. Bij de organisatorische maatregelen om persoonsgegevens te beschermen zou in mijn ogen dan ook moeten horen dat je de gegevens die je beheert niet aan dergelijke concentraties toevoegt maar ze er juist buiten houdt. Mede daarom ben ik ook niet blij dat in plaats van software bij de klant te draaien tegenwoordig zo vaak data bij de softwareleverancier wordt geplaatst. Zo krijg je die concentraties.

Contractueel zal het meestal wel in orde zijn, maar de verwerkersovereenkomst zelf is niet wat de gegevens beveiligt, die bepaalt wie naar wie kan wijzen als het al is misgegaan. Dat is te laat.
Reageer met quote
Vandaag, 11:20 door Anoniem
Iets wat beveiligingsexperts betwijfelen.

moet natuurlijk zijn:

Iets wat beveiligingswannebees betwijfelen.

Die group staat er al lang bekend om dat ze doen wat ze zeggen. Die shredlogs zijn wel echt. En dat weet een beetje beveiliger met echte kennis van dit dossier ook. Zouden ze dat namelijk niet doen, en ze publiceren alsnog, betaalt er niemand meer. Zo makkelijk is dat. Zelfs dit soort kriminelen hebben hun reputatie hoog te houden.

Zo geldt dat ook voor Odido. Als ik me niet vergis, vroegen ze een miljoen. Maar Odido zal het verder een worst wezen wat er met ons en onze gegevens gebeurt. Ze weten dat ze toch niet aangepakt worden door de overheid en overal mee wegkomen. Dus waarom zouden ze zich moe maken?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Vacature Digital Designer Certified Secure
Certified Secure GenAI Deep Dive Security Training