Verhalen uit het hart van de helpdesk.

Wat er gebeurde

Op 6 mei 2026 bracht VRT NWS naar buiten dat het Canvas leerplatform — gebruikt door tientallen Belgische en Nederlandse onderwijsinstellingen — gehackt was. Het hackerscollectief ShinyHunters claimde een database met gegevens van meer dan 275 miljoen Canvas-gebruikers wereldwijd in zijn bezit te hebben.1

Zes Vlaamse instellingen werden expliciet getroffen: de Vrije Universiteit Brussel (VUB), Thomas More Hogeschool, Arteveldehogeschool, Karel de Grote Hogeschool, CVO Gent en de Erasmushogeschool. Daarnaast bevestigden 44 Nederlandse onderwijsinstellingen dat ze in dezelfde buit zaten.1

De instellingen reageerden snel: Canvas werd veilig hersteld en getroffen studenten en personeel kregen een waarschuwingsmail. De Belgische Gegevensbeschermingsautoriteit werd ingelicht.

Welke gegevens zijn gelekt

De omvang per instelling verschilt — Canvas-databanken worden grotendeels per klant gesegmenteerd. Op basis van de eerste meldingen:

• VUB — uitsluitend schoolgegevens (studierichting, cursusrooster, klasgroepen). Geen privé-info gestolen volgens de universiteit.
• Arteveldehogeschool — voor- en familienamen, e-mailadressen (zowel werk als privé), volgnummers van studenten en medewerkers, én de interne berichten die gebruikers via Canvas met elkaar uitwisselden. Wachtwoorden niet gelekt.
• Overige instellingen — vergelijkbare combinaties van naam + e-mail + intern ID, met variatie in hoeveelheid berichten en cursusdata.

Belangrijk: wachtwoorden zijn nergens gelekt. Maar dat is misleidend geruststellend — voor de aanvallers waaraan ShinyHunters gewoonlijk verkoopt zijn wachtwoorden niet het einddoel.

Waarom dit type data zo gevaarlijk is

Wanneer een aanvaller een student of medewerker wil impersoneren bij de IT-helpdesk van een hogeschool, krijgt hij vaak één vraag: "kan u zich identificeren?". De typische "verificatie" die volgt:

• "Wat is uw volledige naam?" → ✓ uit Canvas-leak
• "Wat is uw e-mailadres?" → ✓ uit Canvas-leak
• "Wat is uw studentnummer of personeelsnummer?" → ✓ uit Canvas-leak
• "In welke klasgroep zit u dit semester?" → ✓ vaak ook in Canvas-data

Met die antwoorden voltooit de aanvaller de identiteitscheck en krijgt hij een nieuw wachtwoord op een mailadres dat hij zelf doorgeeft. Geen technische exploit, geen malware. Pure social engineering, gevoed door publiek gelekte data.

Het ShinyHunters-patroon

ShinyHunters is geen amateur-groep. Sinds 2020 worden ze in verband gebracht met inbraken bij Microsoft (broncode), AT&T (73 miljoen records), Ticketmaster (560 miljoen klanten), Santander, en talloze SaaS-platformen. Hun werkwijze:

• Compromitteer een groot platform via credential stuffing of een supply-chain zwakheid.
• Exfiltreer zoveel mogelijk klant-identifiers (geen wachtwoorden — die zijn vaak gehasht en daarom waardeloos).
• Verkoop de database via dark-web fora.
• Volgende aanvallers gebruiken de data voor gerichte social-engineering — vooral richting helpdesks.

Dat is precies waarom "alleen schoolgegevens" niet onschadelijk is. Eens een aanvaller weet welk vak je dit semester volgt of welke klasgroep je hebt, krijg je een veel overtuigender telefoontje dan iemand die het gokwerk moet doen.3

Wat dit betekent voor onderwijs én MSP-helpdesks

De Canvas-hack is een onderwijs-verhaal in de pers, maar het mechanisme is universeel. Drie redenen waarom élke helpdesk in 2026 dit risico loopt:

• "Standaard" verificatievragen zijn waardeloos geworden. Naam + e-mail + intern ID stond ergens op een database die gelekt is. De vraag is niet of, maar wanneer ook uw klantenbestand circuleert.
• Helpdesks zijn getraind om snel te helpen. Een agent die een wachtwoord weigert te resetten voor een "boze student vlak vóór een examen" krijgt klachten. Die druk speelt aanvallers in de kaart.
• NIS2 dwingt sterke authenticatie af. Hogescholen en universiteiten vallen onder NIS2 als "essentiële entiteit" voor publieke dienstverlening. Vragen-stellen volstaat niet meer als audit-bewijs.4

Hoe XyloTrust dit type aanval ondervangt

Een aanvaller die belt heeft één ding niet: het paspoort en het gezicht van het echte slachtoffer. XyloTrust voegt exact die controle toe op het moment van het verzoek, in minder dan dertig seconden:

• De agent klikt op "Verifieer aanvrager" in het Freshdesk-ticket.
• De aanvrager ontvangt een SMS met een one-time link naar onze externe identificatie-provider.
• Hij voltooit een korte ID-flow: scan van paspoort of eID, plus een live selfie.
• Geslaagd? De helpdesk gaat verder. Geen overeenkomst tussen document en gezicht? Geen reset. Klaar.

De gelekte Canvas-data — naam, e-mail, studentnummer — is plots waardeloos voor de aanvaller. Hij komt niet voorbij paspoort + selfie. Identiteit is niet meer wat je weet, maar wat je bent.

Slotgedachte

De Canvas-hack is symptomatisch voor een breder fenomeen: elke grote SaaS-database is een potentiële social-engineering wapenkist. ShinyHunters heeft het nu op onderwijs gemunt — vorig jaar waren het telco's (Orange, T-Mobile), het jaar daarvoor casino's (MGM), het jaar daarvoor banken (Capital One). Het patroon herhaalt zich, alleen het slachtoffer verandert.

Voor onderwijsinstellingen én voor MSP's met onderwijs als klant betekent dit één ding: de tijd waarin "ken je je studentnummer?" een veilige check was, is voorbij. XyloTrust is onze antwoord daarop — een tweede factor die niet in een database staat die binnen één jaar op een fora wordt aangeboden.