Canvas-datalek raakt 44 Nederlandse scholen: phishing dreigt

Wat moet u weten?

• Hackerscollectief ShinyHunters claimt 3,65 TB aan data te hebben buitgemaakt bij Canvas-eigenaar Instructure: namen, e-mailadressen, student-ID’s en privéberichten.
• Volgens NL Times zijn 44 Nederlandse onderwijsinstellingen betrokken, waaronder de Universiteit van Amsterdam, de Vrije Universiteit, Windesheim en de Haagse Hogeschool.
• De groep zette Instructure op 3 mei op haar leksite en stelde een ultimatum tot 6 mei — dat is vandaag.
• Wachtwoorden en bankgegevens zijn niet gelekt, maar de combinatie naam plus onderwijs-mailadres is goud waard voor gerichte phishing.

Wat is er precies gebeurd?

Onderwijssoftware-leverancier Instructure, eigenaar van leerplatform Canvas, bevestigde op 1 mei 2026 een cyberincident waarbij gebruikersgegevens zijn buitgemaakt. Twee dagen later plaatste afpersgroep ShinyHunters de organisatie op haar Tor-leksite met de claim dat 3,65 terabyte aan data uit een Salesforce-omgeving is gestolen. In totaal zou het gaan om gegevens van circa 275 miljoen Canvas-gebruikers, verspreid over zo’n 9.000 onderwijsinstellingen wereldwijd. Instructure zou volgens internationale media tot nu toe niet ingaan op de losgeldeisen; de deadline van de aanvallers verloopt vandaag.

Welke Nederlandse scholen zijn geraakt?

NL Times meldt dat 44 Nederlandse onderwijsinstellingen op de getroffenenlijst staan. Onder meer de Universiteit van Amsterdam, de Vrije Universiteit, de Universiteit Twente, Windesheim en de Haagse Hogeschool bevestigden inmiddels dat zij Canvas gebruiken en de impact onderzoeken. Volgens Instructure zijn alleen namen, e-mailadressen, student-ID’s en onderlinge berichten geraakt; wachtwoorden, geboortedata, identiteitsdocumenten of bankgegevens zouden niet zijn buitgemaakt. Dat klinkt geruststellend, maar onderschat de waarde van die ogenschijnlijk “lichte” gegevens niet.

Waarom dit een phishing-bom is

Een gericht phishing-bericht slaagt of mislukt op geloofwaardigheid. Een aanvaller die uw volledige naam, uw studentnummer én uw onderwijs-e-mailadres bezit, kan een mail of sms opstellen die bijna niet van een echt bericht van uw instelling te onderscheiden is. Denk aan nepberichten over een “blokkering van uw studentenaccount”, een “wijziging van uw Canvas-inloggegevens” of valse meldingen over onbetaald collegegeld. Dit type gepersonaliseerde phishing groeit hard — cybercrime in Nederland blijft toenemen, en datalekken zoals deze leveren de munitie voor de volgende campagne aan.

Wat moet u nu doen?

1. Verander uw Canvas-wachtwoord en zet, indien mogelijk, multifactor-authenticatie aan.
2. Wantrouw berichten met uw naam erin die naar Canvas, een studentenportaal of een onderwijsdienst verwijzen, ook als ze er professioneel uitzien.
3. Klik niet op links in onverwachte berichten over uw studentenaccount; typ het adres van uw instelling zelf in de browser.
4. Meld verdachte berichten bij de IT-afdeling van uw school of bij de Fraudehelpdesk.
5. Voor scholen en bedrijven: filter inkomende post agressiever. Een goed ingeregeld extern spamfilter houdt de meeste van deze imitatie-mails tegen voordat ze de inbox bereiken.

Veelgestelde vragen

Is mijn wachtwoord gelekt?
Volgens Instructure niet. Toch is het verstandig om uw Canvas-wachtwoord preventief te wijzigen, zeker als u datzelfde wachtwoord ook elders gebruikt.

Hoe weet ik of mijn instelling op de lijst staat?
Uw onderwijsinstelling is verplicht u te informeren als uw gegevens betrokken zijn. Houd de officiële kanalen van uw school in de gaten en vertrouw niet op berichten via e-mail of sms voor deze melding.

Wat als ik al op een verdachte link heb geklikt?
Verander direct uw wachtwoord, controleer recente inlogactiviteit en neem contact op met de IT-helpdesk van uw instelling. Hoe u phishing herkent, leest u in onze kennisbank.

Lees ook

Ook nuttig: zes tips voor online veiligheid voor ondernemers en het complete overzicht van onze nieuwsberichten over phishing en datalekken.

Lees ook de berichtgeving bij NL Times en Techzine voor verdere achtergrond bij dit incident.