Uit de vrijgegeven lijst die door BNR is ingezien, blijkt dat het in totaal zou gaan om 44 instellingen door het hele land. Onder meer de Universiteit van Amsterdam, Vrije Universiteit Amsterdam en de hogescholen van Windesheim en Den Haag worden genoemd. Ook het Deltion College in Zwolle en het Grafisch Lyceum in Haarlem staan op de lijst.
ShinyHunters brak in op een database van Canvas-producent Instructure, en maakte namen, e-mailadressen, studentnummers en berichten buit die gebruikers onderling hebben gebruikt. Gisteren werd bekend dat ShinyHunters de gegevens van meer dan 275 miljoen studenten, docenten en onderwijsmedewerkers buitgemaakt, verdeeld over 9000 onderwijsinstellingen wereldwijd.
Wat voor groep is ShinyHunters?
ShinyHunters is een relatief kleine hackersgroep. Bronnen die bekend zijn met de groep zeggen dat de kern uit slechts enkele personen bestaat, die onder meer uit Canada en Frankrijk zouden komen. Ze hacken regelmatig bedrijven die diensten leveren aan andere organisaties, waardoor ze in één keer toegang krijgen tot meerdere systemen.
In Nederland is ShinyHunters vooral bekend van hacks op Odido (2026), Ticketmaster (2024) en Pornhub (2025), waarbij gegevens van ongeveer 1,5 miljoen Nederlandse accounts zijn buitgemaakt.
De hackers hebben scholen een deadline gesteld: 7 mei, dat is aanstaande donderdag. Scholen kunnen individueel met de groep onderhandelen over een prijs, meldt ShinyHunters. “Als scholen in de lijst geïnteresseerd zijn in het voorkomen van het vrijgeven van hun data, neem dan privé contact met ons op om tot een afspraak te komen.”
Geen loze dreigementen
Volgens BNR wijst die stap erop dat het moederbedrijf van Canvas, Instructure, niet op de eisen van de hackers in is gegaan.
De hackers hebben eerder met de Odido-hack laten zien dat de dreigementen opgevolgd worden door actie: toen Odido weigerde te betalen, werden inderdaad gegevens gelekt.
Dat bedrijven nog altijd de risico’s van hacken onderschatten, leggen we uit in deze video: