Canvas 44 NL instellingen gelekt, Edge wachtwoorden onveilig

In de periode van 4 mei tot en met 5 mei 2026 bevestigde Instructure, het Amerikaanse bedrijf achter onderwijsplatform Canvas, dat de groep ShinyHunters 3,65 terabyte aan persoonsgegevens heeft gestolen van 9.000 onderwijsinstellingen en 275 miljoen gebruikers wereldwijd. Van de getroffen instellingen bevinden zich 44 in Nederland, waaronder hogescholen, universiteiten en mbo instellingen verspreid over het land. ShinyHunters stelde een deadline van 6 mei voor betaling. Dezelfde groep publiceerde eerder in de week ook de persoonlijke gegevens van 119.200 Vimeo gebruikers na een mislukte afpersing via externe leverancier Anodot. Beveiligingsonderzoeker @L1v1ng0ffTh3L4N maakte op 29 april bekend dat Microsoft Edge alle opgeslagen wachtwoorden bij het opstarten direct als platte tekst in het procesgeheugen laadt, een gedrag dat Microsoft erkent als bewuste ontwerpkeuze. Via het netwerk van Cybercrimeinfo werd een actieve aanval via de ClickFix methode gesignaleerd op een website die circuleert onder internetgebruikers in Nederland, met al minstens één bevestigd slachtoffer. Kaspersky stelde vast dat de officiële website van Daemon Tools al wekenlang malware verspreidt via een supply chain aanval, waarbij een selecte groep slachtoffers waaronder overheden en fabrieken een remote access trojan heeft ontvangen.

ShinyHunters treft 275 miljoen Canvas gebruikers

Instructure bevestigde op 4 mei 2026 dat aanvallers toegang hebben gekregen tot zijn systemen en persoonsgegevens hebben gestolen van gebruikers van het onderwijsplatform Canvas. ShinyHunters eiste verantwoordelijkheid op en claimt 3,65 terabyte aan gegevens te hebben buitgemaakt van 9.000 instellingen en 275 miljoen studenten, docenten en medewerkers. Het bedrijf bevestigde dat de gestolen data namen, e-mailadressen, studentnummers en berichten die via het platform zijn uitgewisseld omvat. Wachtwoorden, geboortedata, overheidsidentificatienummers en financiële informatie zijn volgens Instructure niet gestolen. Het bedrijf trok onmiddellijk inloggegevens en toegangstokens in, rolde patches uit en breidde de monitoring op alle platforms uit.

Van de getroffen instellingen bevinden zich 44 in Nederland. Dat blijkt uit een lijst die ShinyHunters op het darkweb publiceerde en die door BNR Nieuwsradio werd ingezien. De lijst omvat hogescholen en universiteiten verspreid over heel Nederland, waaronder de beide universiteiten in Amsterdam, Hogeschool Windesheim, Hogeschool Den Haag, Deltion College in Zwolle en het Grafisch Lyceum in Haarlem. Universiteit Tilburg liet weten dat het onderzoekt of gegevens van haar studenten en medewerkers bij het incident zijn betrokken. Ook Universiteit Maastricht waarschuwde haar studenten. In de Verenigde Staten deden universiteiten als Rutgers, University of Massachusetts, University of Virginia en University of Texas soortgelijke waarschuwingen. Voor de getroffen Nederlandse instellingen geldt de meldplicht aan de Autoriteit Persoonsgegevens onder AVG artikel 33. De aanval past in een patroon van ShinyHunters die afgelopen weken ook datalekken claimde bij de Europese Commissie, Rockstar Games, Medtronic, Carnival, Zara, 7-Eleven en Udemy.

ShinyHunters publiceerde eerder in de week ook de gestolen gegevens van 119.200 Vimeo gebruikers nadat afpersing van het platform mislukte. De data was buitgemaakt via een inbreuk bij Anodot, een externe leverancier van analyseoplossingen die door Vimeo werd gebruikt. De gelekte dataset van 106 gigabyte omvat e-mailadressen en in sommige gevallen namen, maar geen wachtwoorden, betaalkaartinformatie of videocontent. Vimeo bevestigde op 27 april de inbreuk bij Anodot en deactiveerde direct alle inloggegevens van Anodot. Have I Been Pwned voegde de gelekte e-mailadressen op 5 mei toe aan zijn database, waarmee gebruikers kunnen controleren of zij bij het lek betrokken zijn. ShinyHunters claimde tegenover BleepingComputer dat het data van tientallen bedrijven heeft gestolen via authenticatietokens van Anodot, waaronder pogingen op Salesforce omgevingen die werden geblokkeerd door detectie op basis van kunstmatige intelligentie.

Microsoft Edge laadt wachtwoorden als platte tekst

Op 29 april 2026 maakte beveiligingsonderzoeker @L1v1ng0ffTh3L4N tijdens het BigBiteOfTech evenement bekend dat Microsoft Edge bij het opstarten alle opgeslagen wachtwoorden direct ontsleutelt en als platte tekst in het procesgeheugen opslaat. Dit geldt voor alle websites in de kluis van de gebruiker, ongeacht of diezelfde websites tijdens de sessie bezocht worden. Google Chrome doet dit fundamenteel anders, want dat platform gebruikt ontsleuteling op aanvraag, waarbij inloggegevens alleen worden ontsleuteld wanneer nodig voor automatisch aanvullen of wanneer een gebruiker expliciet een wachtwoord wil bekijken. Chrome versterkt dit met App-Bound Encryption, waarmee ontsleutelingssleutels cryptografisch zijn gekoppeld aan een geauthenticeerd Chrome proces, zodat andere processen ze niet kunnen hergebruiken.

De ernst neemt sterk toe in gedeelde omgevingen zoals Remote Desktop Services, terminalservers of omgevingen met Virtual Desktop Infrastructure. Een aanvaller met beheerdersrechten op zo'n systeem kan het geheugen van elk ingelogd gebruikersproces uitlezen. In de video die de onthulling vergezelde, wordt gedemonstreerd dat een gecompromitteerd beheerdersaccount succesvol inloggegevens extraheert van twee andere ingelogde gebruikers, inclusief gebruikers met verbroken maar nog steeds actieve sessies. Hiervoor is slechts het lezen van het procesgeheugen van de Edge browser nodig. Dit sluit direct aan op MITRE ATT&CK techniek T1555.003 voor het stelen van inloggegevens uit webbrowsers.

Tegenstrijdig genoeg vraagt Edge gebruikers om opnieuw te authenticeren voordat wachtwoorden in het ingebouwde wachtwoordbeheer worden getoond. Omdat het browserproces op dat moment alle wachtwoorden al als platte tekst in het geheugen heeft, is die authenticatiestap uitsluitend een visuele barrière. Microsoft reageerde op de verantwoorde melding door te stellen dat dit gedrag "by design" is en buiten het dreigingsmodel van de browser valt. De onderzoeker bracht ook een educatieve verificatietool uit die gebruikers in staat stelt zelf te controleren of hun Edge browser dit gedrag vertoont. Beveiligingsteams die Windows omgevingen met Edge beheren, met name in omgevingen met gedeelde toegang, wordt geadviseerd te overwegen te migreren naar een browser met ontsleuteling op aanvraag. Voor medewerkers die een wachtwoordmanager van een derde partij zoals MindYourPass gebruiken, geldt dit risico niet omdat wachtwoorden buiten de Edge kluis worden beheerd.

Daemon Tools, ClickFix en verder

Kaspersky stelde vast dat de officiële website van Daemon Tools, een veelgebruikte toepassing voor het koppelen van schijfimages, al wekenlang malware verspreidt. De aanval begon op 8 april 2026 en Kaspersky registreerde sindsdien duizenden infectiepogingen in meer dan honderd landen. De aanvallers pasten meerdere bestanden in de software van Daemon Tools aan en implanterden daarin een achterdeur. Bij een eerste infectie downloadt de achterdeur een payload die uitgebreide informatie over het systeem verzamelt, waaronder het MAC adres, de hostnaam, DNS domeinnaam, actieve processen en geïnstalleerde software. Bij een selecte groep slachtoffers wordt op basis van die informatie een tweede payload geactiveerd, een remote access trojan die aanvallers volledige toegang tot het geïnfecteerde systeem geeft. De machines met de trojan zijn onder meer toebehorend aan overheden, wetenschappelijke organisaties, fabrieken en retailorganisaties in Rusland, Wit-Rusland en Thailand. Kaspersky heeft de ontwikkelaars van Daemon Tools op de hoogte gesteld, maar meldt dat de aanval op het moment van schrijven nog steeds actief is. Gebruikers die de software recentelijk hebben gedownload, wordt geadviseerd het systeem te scannen en inloggegevens te roteren.

Via het netwerk van Cybercrimeinfo werd een actieve aanval via de ClickFix methode gesignaleerd op een website die circuleert onder internetgebruikers in Nederland. Al minstens één slachtoffer is er ingetrapt, terwijl een ander tijdig werd gestopt. De aanval maakt gebruik van een valse verificatiepagina die bezoekers instrueert om de Windows toets in te drukken, vervolgens de toetsencombinatie Ctrl+V en daarna Enter, waarmee het slachtoffer onbewust een kwaadaardig commando uitvoert op de eigen computer. Cybercrimeinfo volgt de aanval actief op in samenwerking met politiecollega's om de verspreiding te beperken. ClickFix speelde eerder dit jaar ook een rol bij het datalek bij gemeente Epe, waarbij persoonsgegevens van bijna alle inwoners werden gestolen. De gemeente maakte op 4 mei bekend dat inwoners van wie ook een kopie van het identiteitsbewijs is buitgemaakt uiterlijk 8 mei een brief ontvangen met instructies voor het aanvragen van een nieuw document, op kosten van de gemeente. Internetgebruikers wordt dringend geadviseerd nooit instructies op te volgen van websites die via een verificatiestap vragen om toetsenbordcombinaties uit te voeren.

Onderzoekers van de Hongkong Polytechnic University presenteerden op het NDSS Symposium 2026 in San Diego aan hoe standaard telecom glasvezelkabels kunnen worden omgezet in een passief afluisterapparaat. Door een 15 meter glasvezel spiraalvormig te winden in een cilinder die past in een standaard glasvezeldoos, kunnen gesprekken in aangrenzende ruimtes tot 80 procent nauwkeurig worden gereconstrueerd op een afstand van meer dan 50 meter. Er is geen batterij of radiosignaal nodig op de afluisterlocatie, waardoor professionele detectiescans het apparaat niet opsporen. De aanval verschilt fundamenteel van een verborgen microfoon en omzeilt daarmee de meeste standaard tegenmaatregelen. Voor organisaties met gevoelige vergaderruimtes is het advies kabelroutes weg te houden van wanden die meeresoneren, geen overtollige glasvezel in de ruimte te laten oprollen en bij hoogwaardige ruimtes wanden en plafonds rond glasvezeltrajecten geluiddicht te maken.

Het Britse AI Security Institute publiceerde een evaluatie van GPT-5.5 waaruit blijkt dat het model bij 71,4 procent van de meest complexe cybersecurity opdrachten slaagde op basis van 95 Capture The Flag taken. GPT-5.5 voltooide ook tweemaal een volledige aanvalsketen op een gesimuleerd bedrijfsnetwerk in een complexe 32-stappen oefening genaamd The Last Ones, als tweede AI model ooit dat daarin slaagt. AISI benadrukt dat de testomgevingen geen actieve verdedigers of realistische detectiemechanismen bevatten. De evaluatie geeft een indicatie van de toenemende beschikbaarheid van door AI ondersteunde aanvalscapaciteiten, los van de vraag of kwaadwillenden nu al actief van GPT-5.5 gebruikmaken voor aanvallen in de praktijk.

De belangrijkste punten

- ShinyHunters Canvas 44 Nederlandse instellingen: Instructure bevestigde diefstal van 3,65 TB data van 9.000 instellingen en 275 miljoen gebruikers, 44 Nederlandse hogescholen en universiteiten staan op de darkweb lijst, meldplicht onder AVG artikel 33 van kracht voor getroffen instellingen

- Vimeo Anodot 119.200 gebruikers gelekt: ShinyHunters publiceerde 106 GB aan gestolen data na mislukte afpersing, data via authenticatietokens van Anodot buitgemaakt, e-mailadressen te controleren via Have I Been Pwned

- Microsoft Edge wachtwoorden platte tekst by design: alle opgeslagen wachtwoorden bij opstarten als platte tekst in procesgeheugen, in omgevingen met gedeelde toegang kan één gecompromitteerd beheerdersaccount alle sessiewachtwoorden uitlezen, Microsoft bevestigt dit een bewuste ontwerpkeuze te zijn

- Daemon Tools officiële website verspreidt malware: supply chain aanval actief sinds 8 april, bij geselecteerde slachtoffers waaronder overheden en fabrieken een remote access trojan geïnstalleerd, aanval via Kaspersky gemeld maar op moment van schrijven nog steeds gaande

- ClickFix actief in Nederland: Cybercrimeinfo netwerk signaleerde actieve aanval via valse verificatiepagina, al minstens één bevestigd slachtoffer, druk nooit toetsencombinaties in op instructie van een website

- Conti en Akira lid 8,5 jaar cel: Lets staatsburger Deniss Zolotarjovs veroordeeld tot 102 maanden gevangenisstraf door Amerikaanse rechtbank, groep veroorzaakte 56 miljoen dollar schade bij dertien bedrijven waaronder een pediatrisch zorgbedrijf en een 911-noodoproepcentrale

- Nederlandse handelaar gestolen data 2 jaar: 30-jarige veroordeeld door rechtbank Noord-Nederland voor handel in gestolen persoonsgegevens en witwassen van 32.000 euro via cryptovaluta

- Linux Copy Fail op CISA KEV: CVE-2026-31431 toegevoegd aan catalogus van bekende misbruikte kwetsbaarheden, patches beschikbaar voor Ubuntu 24.04 LTS, Amazon Linux 2023 en RHEL, federale instanties in de VS moeten patchen voor 15 mei

Lees ook

- S02E53: cPanel 44.000 installaties gecompromitteerd, ShinyHunters lekt Aman Resorts en Raptor Supplies Wemeldinge op darkweb, vorige aflevering, achtergrond bij ShinyHunters vishing operaties en cPanel massale exploitatie

- S02E52: Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico, eerder ShinyHunters patroon bij ADT en Udemy

- S02E51: APT73 raakt twee Belgische organisaties, ChipSoft claimt data vernietigd en LiteLLM actief misbruikt, supply chain context bij LiteLLM en TeamPCP

Wil je dagelijks cyberdreigingen volgen? Schrijf je gratis in voor de Dreigingsradar dagelijkse alert van onze partner Digiweerbaar, met actuele incidenten en kwetsbaarheden uit Nederland en België. Voor CISO's en IT managers is er het betaalde Cyberdreigingsrapport van partner Digiweerbaar met dagelijkse en wekelijkse verdieping.

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam