Na hack koppelt Universiteit Maastricht Canvas los "uit voorzorg": leeromgeving onbruikbaar

Na hack koppelt Universiteit Maastricht Canvas los "uit voorzorg": leeromgeving onbruikbaar

Hackers dreigen na aanval op Canvas persoonlijke gegevens openbaar te maken

08-05-2026 · Nieuws

MAASTRICHT. De hackers, waarvan begin deze week bekend werd dat ze persoonlijke gegevens hebben buitgemaakt na een cyberaanval op onderwijssoftware Canvas, lieten donderdagavond op verschillende Canvas-websites opnieuw van zich horen. Reden voor de Universiteit Maastricht om de onderwijsapplicatie helemaal los te koppelen van alle systemen waardoor er dus niet meer mee te werken is. "Uit voorzorg”, aldus de woordvoerder.

De Canvas-omgeving van de Universiteit Maastricht is, net als zo’n negenduizend andere onderwijsinstellingen in de wereld, getroffen door de hack. In een mail aan studenten en medewerkers van de UM werd op woensdag 6 mei meegedeeld dat “niet kan worden uitgesloten” dat er gegevens zijn gelekt, zoals e-mailadressen. Er wordt dan ook gewaarschuwd voor phishing-mails. Na een aantal beveiligingsmaatregelen is het echter “veilig om Canvas te gebruiken”, sluit het bericht af.

Maar een dag later plaatsen de hackers op verschillende Canvas-websites een bericht. Ze hebben het programma opnieuw gekraakt, zeggen ze. Volgens UM-woordvoerder Koen Augustijn is het onduidelijk of dat ook in de Maastrichtse Canvas-omgeving is gebeurd. De UM heeft daarop toch besloten alle systemen die nog met de applicatie in verbinding stonden los te koppelen. Daardoor is Canvas onbruikbaar. Dat het voor problemen zorgt voor studenten en medewerkers, is wel duidelijk, maar hoe groot de problemen zijn, weet Augustijn niet. Ook kan hij nog geen antwoord geven op de vraag wanneer Canvas weer ‘in de lucht’ gaat.  

Deadline

De aanval is opgeëist door ShinyHunters, een hackersgroep die eerder betrokken was bij de Odido-inbraak. Aanvankelijk moest het Amerikaanse Instructure, de maker van Canvas, uiterlijk woensdag losgeld betalen, anders zouden alle gegevens openbaar gemaakt worden. Maar de deadline is nu met zes dagen verschoven, meldt Shinyhunters op zijn website.

Volgens de groep hebben meerdere instellingen contact opgenomen (de UM niet). Universiteiten en hogescholen kunnen tot 12 mei onderhandelen om hun gegevens privé te houden. Volgens de groep heeft Instructure zelf nog geen contact gezocht.

Losgeld

Na de hack op Odido gaf de overheid het dringende advies om hackers geen losgeld te betalen. Het kan best dat hackers hun beloftes niet nakomen. “Het uitbetalen van losgeld houdt het verdienmodel van criminelen in stand”, schreef de minister van justitie en veiligheid, David van Weel, destijds.

In december 2019 werd de UM slachtoffer van een grote ransomware-aanval. Om de toegang tot haar data terug te krijgen, besloot de universiteit 200 duizend aan losgeld in bitcoins te betalen. In maart 2025 kreeg de universiteit het bedrag terug op de bankrekening. De politie en het Openbaar Ministerie waren een deel van het bedrag al vrij snel, in 2020, op het spoor gekomen, men slaagde erin een ‘wallet’ met 40 duizend euro aan cryptovaluta te bevriezen. Toen het uiteindelijk lukte om het geld naar Nederland te halen, was de waarde gestegen naar een half miljoen euro.

Wendy Degens/ HOP

Auteur: Redactie

Illustratie: Simone Golob

Categoriëen: nieuws_boven, Nieuws
Tags: hack, cyberaanval, canvas

Voeg reactie toe

Klik hier voor onze privacyregels

Vanaf januari 2022 plaatst Observant alleen nog reacties van mensen wier naam bekend is bij de redactie.