Universiteiten getroffen door cyberaanval, VU koppelt systemen los
Zeven Nederlandse universiteiten zijn geraakt door een cyberaanval op Instructure, het bedrijf achter onderwijssoftware Canvas. De VU in Amsterdam heeft de eigen systemen die met Canvas in verbinding staan losgekoppeld.
Koepelorganisatie Universiteiten van Nederland (UNL) geeft aan dat het gaat om de Universiteit van Amsterdam, de Vrije Universiteit Amsterdam, de Erasmus Universiteit Rotterdam, Tilburg University, de Technische Universiteit Eindhoven, Universiteit Maastricht en Universiteit Twente.
Volgens de universiteiten heeft Instructure laten weten dat hun Canvas-omgevingen zijn getroffen. UNL stelt dat de getroffen onderwijsinstellingen nog niet zijn benaderd voor losgeld door de hackers, een groep die zichzelf ShinyHunters noemt.
Basisgegevens gelekt
UNL meldt verder dat volgens de huidige informatie van Instructure "basisgegevens" van studenten en medewerkers zijn gelekt, zoals namen en e-mailadressen. Er zouden geen wachtwoorden, geboortedata, identiteitsbewijzen, bankgegevens of andere bijzondere persoonsgegevens zijn gestolen.
"Universiteiten vragen Canvasgebruikers ook niet om persoonsgegevens in Canvas te registreren", meldt UNL. "Er kan niet worden uitgesloten dat er berichtenverkeer binnen Canvas is betrokken bij het lek."
De universiteiten waarschuwen dat de gestolen data kunnen worden gebruikt voor phishing en vragen om extra alert te zijn op verdachte berichten, bijvoorbeeld e-mails die onverwacht binnenkomen of mails waarin gevraagd wordt om persoonlijke gegevens.
VU koppelt systemen los
De Limburgse universiteit en de Universiteit van Amsterdam stellen dat hun Canvas-omgevingen weer veilig te gebruiken zijn. Maar de Vrije Universiteit Amsterdam heeft alle systemen die in verbinding staan met onderwijssoftware Canvas losgekoppeld.
"ShinyHunters heeft in de Canvas-omgeving een bericht geplaatst dat ze opnieuw of nog steeds toegang hebben", aldus VU Amsterdam in een update op de eigen site. "Ze dreigen met het publiek maken van de gestolen data."
Melding bij AP
De VU koppelde uit voorzorg de systemen los en deed een melding bij de Autoriteit Persoonsgegevens. De loskoppeling heeft mogelijk gevolgen voor het geven en volgen van onderwijs, schrijft de universiteit.
Volgens UNL hebben alle betrokken universiteiten het datalek gemeld bij de Autoriteit Persoonsgegevens. De cyberaanval op Instructure zorgt ook in andere landen voor problemen. Volgens Instructure heeft Canvas wereldwijd meer dan dertig miljoen gebruikers.
Gerelateerd
Cyberincidenten tonen kwetsbaarheid keten en belang van communicatie
Bij cyberincidenten moet sneller en transparanter worden gecommuniceerd. Ook is er meer overleg nodig tussen organisaties in sectoren die een sterke ketenafhankelijkheid...
Extra budget voor betere digitale veiligheid mkb
Cyberaanvallen raken steeds vaker ook het midden- en kleinbedrijf, maar vaak hebben mkb-ondernemers niet de capaciteit of kennis om zich hier goed tegen te beschermen....
AP gaat beveiliging data bij ICT-leveranciers controleren
De Autoriteit Persoonsgegevens (AP) gaat bij een aantal ICT-leveranciers in Nederland preventief controleren hoe zij de digitale beveiliging hebben geregeld. Zo...
SRA getroffen door cyberaanval
De SRA is getroffen door een cyberaanval. De aanval was gericht op inactieve bestandsservers, die in januari 2026 buiten gebruik waren gesteld. De dagelijkse operatie...
'Datalekken veroorzaakt door te weinig controle'
Meer controles zijn nodig om ervoor te zorgen dat bedrijven en organisaties hun gegevens goed beschermen. Dat is de conclusie van Bits of Freedom, de stichting die...