Het datalek bij Instructure/Canvas, dat de afgelopen tijd het nieuws op het gebied van cyberbeveiliging heeft gedomineerd, heeft een nieuwe fase bereikt.
Van miljoenen studenten zijn persoonlijke gegevens gestolen. De afpersingsgroep ShinyHunters heeft de verantwoordelijkheid voor het datalek opgeëist en oefent extra druk uit om hun losgeld eisen te doen gelden door Canvas-gebruikers rechtstreeks lastig te vallen.
Dat lijkt zijn vruchten te hebben afgeworpen. Op de webpagina van Instructure over het recente datalek staat in een statusupdate van 11 mei 2026 het volgende:
“We weten dat veel klanten zich nog steeds zorgen maken over de mogelijke publicatie van gegevens met betrekking tot dit incident. We begrijpen hoe verontrustend dit soort situaties kunnen zijn, en de bescherming van onze gemeenschap blijft onze hoogste prioriteit.
„Met het oog op die verantwoordelijkheid heeft Instructure een overeenkomst gesloten met de onbevoegde persoon die bij dit incident betrokken was.”
Dit betekent dat Instructure ShinyHunters heeft betaald. Een deel van dat geld zal vrijwel zeker worden gebruikt om toekomstige cybercriminaliteitsoperaties te financieren. Of bedrijven ooit moeten toegeven aan eisen om losgeld of afpersingsgeld te betalen, blijft een omstreden kwestie, en dat is geen discussie die ik hier opnieuw wil aanwakkeren.
Wat ik niet begrijp, is de volgende zin in de update:
“De gegevens zijn naar ons teruggestuurd.”
Hoewel dat misschien bedoeld is om geruststellend over te komen, gaat het bij cyberbeveiliging niet om gegevens zoals een geleende laptop of een zoekgeraakte map. Als gegevens eenmaal zijn gekopieerd, kunnen ze keer op keer opnieuw worden gekopieerd.
Dat is belangrijk omdat het incident niet alleen om tijdelijke toegang ging. Volgens Instructure betrof de ongeoorloofde toegang gebruikersnamen, e-mailadressen, cursusnamen, inschrijvingsgegevens en berichten.
Gegevens kunnen niet zomaar worden „teruggestuurd“
Dus wanneer een bedrijf zegt dat de gegevens zijn „teruggegeven“ en dat er„vernietigingslogboeken“ zijn verstrekt, is de echte vraag niet of de aanvallers nog steeds in het bezit zijn van de originele bestanden. De vraag is of er kopieën zijn gemaakt, of die kopieën zijn gedeeld en met wie. In wezen gaat het er dus om of de risico’s die uit het datalek voortvloeien daadwerkelijk zijn weggenomen. Hoewel dit soort cybercriminelen vaak op vertrouwen opereren, beschikken digitale gegevens niet over een gegarandeerde terugroepfunctie.
Het goede nieuws is dat Instructure aangeeft dat er geen wachtwoorden, geboortedata, overheidsidentificatiegegevens of financiële gegevens bij betrokken waren. Maar namen, e-mailadressen, cursusgegevens en privéberichten zijn nog steeds voldoende om gerichte phishing- en social engineering-aanvallen te voeden, lang nadat de krantenkoppen zijn verdwenen.
Voor studenten en gezinnen geldt het praktische advies uit onze oorspronkelijkeblognog steeds:
- Wachtwoorden voor Canvas opnieuw instellen
- Schakel waar mogelijk meervoudige authenticatie in
- Houd de financiële en kredietactiviteiten in de gaten naarmate kinderen ouder worden
- Wees op uw hoede voor zeer gepersonaliseerde phishingberichten waarin naar echte scholen, cursussen of docenten wordt verwezen
Je naam, adres en telefoonnummer worden waarschijnlijk al te koop aangeboden.
Datahandelaren verzamelen uw persoonlijke gegevens en verkopen deze aan iedereen die ervoor wil betalen. Malwarebytes Personal Data Remover deze gegevensPersonal Data Remover , zorgt ervoor dat ze worden verwijderd en houdt vervolgens in de gaten of dit zo blijft.
