7 mei 2026
Canvas-hack waarschuwing: Nederlandse universiteiten voor phishing
Nederlandse universiteiten waarschuwen voor phishing na Canvas-hack door ShinyHunters. Lees wat je moet doen om jezelf te beschermen.
Door CyberVergelijker redactie
Canvas-hack zorgt voor grote bezorgdheid op Nederlandse en Belgische universiteiten. De ransomwarebende ShinyHunters heeft het leerplatform van meerdere onderwijsinstellingen aangevallen, waaronder Tilburg University, Maastricht University en de Universiteit van Amsterdam. Deze instellingen waarschuwen hun studenten nu voor phishing-aanvallen die volgen op de inbraak.
Wat is er precies gebeurd?
De cybercriminele groep ShinyHunters heeft Canvas, een populair leerplatform dat door tientallen Nederlandse en Belgische onderwijsinstellingen wordt gebruikt, weten te hacken. De aanvallers hebben waarschijnlijk gebruikersgegevens buitgemaakt en gebruiken deze nu om phishing-campagnes op te zetten.
Betreffende instellingen hebben hun studenten en medewerkers geïnformeerd over de inbreuk. Onder meer Tilburg University, Maastricht University, de Arteveldehogeschool en de Universiteit van Amsterdam hebben officieel gewaarschuwd. De universiteiten adviseren gebruikers alert te blijven op verdachte e-mails die lijken afkomstig van Canvas of de eigen instelling.
ShinyHunters is bekend om zijn agressieve aanpak met ransomware. De groep versleutelt data en dreigt deze openbaar te maken wanneer organisaties niet betalen. In dit geval lijkt het erop dat de aanvallers na de initiële inbraak phishing-campagnes hebben gestart om nog meer inloggegevens te stelen.
Waarom is dit belangrijk voor Nederlandse gebruikers en bedrijven?
De Canvas-hack treft duizenden Nederlandse en Belgische studenten en docenten rechtstreeks. Wie actief was op het platform, loopt risico op phishing-aanvallen. Cybercriminelen kunnen de gestolen gegevens gebruiken om:
- Nep-e-mails te versturen die lijken op officiële universiteitscommunicatie
- Inloggegevens te stelen door naar fake Canvas-pagina’s te linken
- Identiteitsgestuurde aanvallen op individuen uit te voeren
- Toegang tot gevoelige studentengegevens en tentamens te krijgen
Dit is onderdeel van een groter patroon. Zoals blijkt uit recent onderzoek, phishing-sites in Nederland gemiddeld twintig uur online blijven, wat aantoont hoe snel criminelen kunnen handelen. Ook grote bedrijven zoals Microsoft zijn doelwit: Microsoft heeft onlangs een phishing-campagne blootgelegd die 35.000 gebruikers in 26 landen trof.
Universiteiten en hogescholen zijn aantrekkelijke doelwitten omdat studenten vaak minder alert zijn op veiligheid en omdat het platform toegang geeft tot veel persoonsgegevens tegelijk.
Wat kun je doen?
Volg deze praktische stappen om jezelf te beschermen na de Canvas-hack:
- Wijzig je wachtwoord, Log in op Canvas (via het officiële instellingsdomein, niet via e-maillinks) en verander je wachtwoord meteen. Gebruik een sterk, uniek wachtwoord dat je nergens anders gebruikt.
- Controleer je e-mailinstellingen, Kijk in Canvas en je universitaire e-mailaccount of er forwarding-regels zijn ingesteld. Verwijder verdachte doorstuurregels.
- Aktiveer twee-factor authenticatie, Zet authenticatie-apps (Google Authenticator, Authy) in op Canvas en je universiteitsaccount als dit beschikbaar is.
- Wees voorzichtig met e-mails, Ontvang je e-mails die je naar Canvas willen sturen? Controleer het e-mailadres goed. Klik nooit op links in onverwachte e-mails; ga altijd rechtstreeks naar Canvas toe via je browser.
- Controleer je bankrekening, Als je bankgegevens in Canvas waren opgeslagen, zet extra toezicht in. Controleer regelmatig je afschriften op ongeautoriseerde transacties.
- Meld verdachte e-mails, Ontvang je phishing-e-mails? Rapporteer deze aan je universiteit en aan de afdeling IT-veiligheid.
- Monitor je creditdata, Registreer jezelf op sites die gewaarschuwd worden bij misbruik van je gegevens (zoals NCSC-meldingen voor Nederlands burgers).
Aanvullend advies: zorg dat je meerdere sterke, unieke wachtwoorden hebt voor belangrijke accounts. Een wachtwoordmanager kan hierbij helpen. Bekijk ook Kritieke beveiligingslekken mei 2026: APT-aanvallen en CMS-exploits voor meer informatie over hoe je jezelf tegen phishing-aanvallen kunt verdedigen.
Achtergrond: ransomware en backup-nalatigheid
ShinyHunters is geen onbekende speler in de cybercriminaliteit. De groep staat bekend om high-profile inbreuken bij onder andere onderwijsinstellingen, ziekenhuizen en overheidsinstanties. Hun aanvalspatroon volgt steeds hetzelfde schema:
- Inbraak in beveiligd systeem (via phishing, zwakke wachtwoorden of ongepatched kwetsbaarheden)
- Data stelen en versleutelen met ransomware
- Dreigen met publicatie van gestolen data
- Losgeld eisen
Een belangrijk inzicht uit recent beveiligingsonderzoek: backups voorkomen niet altijd ransomware-aanvallen. Aanvallers vernietigen backups en recovery-systemen eerst, voordat ze data versleutelen. Dit verklaart waarom organisaties vaak geen keus hebben dan te betalen.
Voor onderwijsinstellingen specifiek is dit extra probleem: ze beheren gevoelige studentengegevens, maar hebben vaak beperkte IT-budgetten. Dit maakt hen een aantrekkelijk doelwit.
Veelgestelde vragen
Hoe weet ik of mijn gegevens in de Canvas-hack zijn buitgemaakt?
Canvas en je universiteit zouden je moeten hebben gemaild met informatie over wat precies is gestolen. Dit is meestal minimaal je gebruikersnaam, e-mailadres en een versleuteld wachtwoord. Je kunt ook contact opnemen met de IT-afdeling van je instelling. Controleer ook je e-mailaccount op meldingen van verdachte inlogpogingen.
Kan ik phishing-e-mails van Canvas herkennen?
Ja. Echte e-mails van Canvas/je universiteit komen van officiële universiteitsdomeinen (bijvoorbeeld @uva.nl, niet van Gmail). Wees voorzichtig als je naar links wordt gevraagd om je wachtwoord in te voeren. Een gouden regel: ga altijd rechtstreeks naar de website toe via je browser, niet via e-maillinks. Controleer ook of de afzender echt is door hem op te zoeken in de universiteitsdirectory.
Wat moet ik doen als ik denk dat mijn account is gehackt?
Neem onmiddellijk contact op met de IT-helpdesk van je universiteit. Zij kunnen je account blokkeren, het wachtwoord resetten en controleren of er ongeautoriseerde activiteiten zijn geweest. Verander ook je wachtwoord op andere sites waar je dezelfde inloggegevens hebt gebruikt. Voor meer informatie over veiligheid, zie Cyberbedreiging mei 2026: Oracle, Microsoft en phishing-aanvallen.
Zijn Nederlandse universiteiten anders beveiligd dan buitenlandse?
Nederlandse universiteiten volgen GDPR-richtlijnen en hebben verplichte meldingsplichten, maar dat betekent niet dat ze oneindbaar zijn. Canvas is een Amerikaanse dienst, dus ook kwetsbaarheden daar kunnen Nederlandse gebruikers treffen. Universiteiten zijn voortdurend doelwit omdat ze waardevolle data bevatten en soms achter lopen met beveiligingspatches door budgetbeperkingen.
Conclusie
De Canvas-hack is een ernstige waarschuwing voor alle Nederlandse en Belgische studenten en medewerkers. Het is niet zomaar een technische storing: je persoonlijke gegevens zijn waarschijnlijk in handen van cybercriminelen die deze actief gebruiken voor phishing.
Het meeste wat je kunt doen is voorzichtig blijven met verdachte e-mails, je wachtwoorden sterker maken en twee-factor authenticatie inschakelen. Universiteiten moeten hun IT-beveiligingsbudgetten verhogen en sneller reageren op beveiligingslekken.
Dit incident illustreert ook een groter probleem: cybercriminelen worden steeds geraffineerder, en organisaties slagen er niet in adequaat te reageren. Voor meer inzicht in andere kritieke bedreigingen die Nederlandse organisaties treffen, lees je meer in ons artikel over Software-updates en beveiligingslekken mei 2026: wat je moet weten.
Bronvermelding
- Tweakers: Onderwijsinstellingen waarschuwen studenten na Canvas-hack
- Bleeping Computer: Why ransomware attacks succeed even when backups exist
- NIST National Vulnerability Database (NVD)
- NCSC: Nederlands Centrum voor Cyberbeveiliging
—