Bij online leerplatform Udemy zijn 1,4 miljoen e-mailadressen en aanvullende gegevens openbaar gemaakt na een mislukte afpersingspoging.
Udemy, het online leerplatform, had gisteren een lek van 1,4 miljoen e-mailadressen na een afpersingspoging door ShinyHunters. Bij de openbaarmaking zaten ook namen, adressen, telefoonnummers, werkgeversinformatie en de uitbetalingsmethode van docenten; 56 procent van de adressen dook eerder op in andere datasets.
New breach: Udemy had 1.4M email addresses leaked yesterday following an extortion attempt by ShinyHunters. Data included name, address, phone, employer info and instructor payout method. 56% were already in @haveibeenpwned. Read more: https://t.co/qxq9LkoMqs
— Have I Been Pwned (@haveibeenpwned) April 26, 2026
Dit lek springt eruit door twee velden die normaal niet opduiken: werkgeversinformatie van cursisten en de uitbetalingsmethode van docenten. Daarmee raakt het niet alleen individuën, maar ook werkprocessen rond leren en geldstromen. Dat 56 procent van de adressen al eerder circuleerde, maskeert een tweede punt: er zit óók veel nieuw publiek in dit bestand dat deze verbanden nog niet eerder blootgaf.
Werkgeversveld verandert wie risico loopt
Werkgeversinformatie koppelt privé-accounts aan werkcontext. Denk aan cursisten die inloggen met een zakelijk e-mailadres of via een bedrijfsabonnement. Met zo’n veld kunnen aanvallers mails sturen die verwijzen naar een concreet team, functie of programma. Niet de klassieker met een algemene kortingscode, maar een bericht over “verlenging van het X-traject” of “compliance-training” bij een specifieke werkgever. Wie het interne vocabulaire herkent, klikt sneller. Dat maakt ook HR- en L&D-afdelingen onderdeel van het risico, niet alleen de eindgebruiker.
Voor organisaties is de eerste stap inventariseren: welke medewerkers gebruiken Udemy met een zakelijk adres, en via welk contract? Daarna kunnen simpele drempels helpen. Spreek vaste afzenders af voor cursuscommunicatie en zet wijzigingen in inkoop of leveranciers alleen door via bestaande kanalen, nooit op basis van losse mails. Wie wil controleren of een e-mailadres in dit lek zit, kan dat doen via Have I Been Pwned en zo gericht extra aandacht geven aan teams die opduiken.
Docenten kwetsbaar voor uitbetalingswissel
De vermelding van “uitbetalingsmethode” van docenten geeft aanvallers aanknopingspunten. Het gaat niet om banknummers die we gezien hebben, maar om het type kanaal dat een docent gebruikt. Dat is genoeg voor een geloofwaardig verzoek: een nepmail van “support” die verwijst naar de huidige methode en vraagt om een “snelle controle” of “update” van het uitbetalingsprofiel. Met één klik kan een aanvaller proberen de bestemming van inkomsten te veranderen.
Praktisch betekent dit voor docenten: controleer je uitbetalingsinstellingen direct in het platform, niet via links in berichten. Zet meldingen aan voor wijzigingen en gebruik waar mogelijk aparte e-mailadressen voor financiële communicatie. Zie je een verzoek om je uitbetalingsmethode te “verifiëren” buiten de normale cyclus om, bel dan via het bekende supportkanaal na. Organisaties die met externe trainers werken, kunnen vergelijkbare controles inbouwen voordat ze wijzigingen accepteren.
Afpersing bepaalt tempo en ruis
Dit bestand verscheen na een afpersingspoging, wat vaak betekent: weinig aanloop en snel publiek. Die snelheid beperkt de tijd voor gerichte waarschuwingen. Het verklaart ook de “ruis” in zulke dumps: een mix van oude en nieuwe adressen. De 56 procent overlap suggereert dat veel personen al vaker in lijsten voorkwamen, maar dat helpt een aanvaller juist om profielen aan te vullen met de nu toegevoegde velden.
Er blijven open vragen. Om welke periode data het precies gaat, welke landen zijn geraakt, en of inlog- of betaalgegevens zijn betrokken, is niet gespecificeerd. Tot die duidelijkheid er is, blijft het raadzaam om afwijkende berichten over cursussen of uitbetalingen extra te controleren en bekende contactkanalen te gebruiken. Twijfel je over mogelijke factuur- of betaalfraude, zie dan ook de handreikingen van het NCSC over BEC-aanvallen. Komt Udemy met technische details, dan wordt zichtbaar of dit incident nog doorwerkt in andere systemen en processen.
