Werkgerelateerde persoonsgegevens van medewerkers van de Autoriteit Persoonsgegevens zijn ingezien door onbekenden. Ook de Raad voor de rechtspraak (Rvdr) is gehackt. Beide organisaties hebben maatregelen genomen en het datalek gemeld.
Datalek bij Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens en de Raad voor de Rechtspraak zijn gehackt.
Kwetsbaarheid in EPMM
De AP en de Rvdr zijn slachtoffer van misbruik van een kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM). Deze oplossing wordt gebruikt voor het beheer en de beveiliging van mobiele apparaten, apps en content. Organisaties kunnen via EPMM de mobiele apparaten van hun medewerkers op afstand beheren. Het Nationaal Cyber Security Centrum (NCSC) werd op 29 januari door de leverancier op de hoogte gesteld van twee kwetsbaarheden in EPMM. Het installeren van een update kon de kwetsbaarheden verhelpen. Later werd bekend dat de kwetsbaarheden waren misbruikt door kwaadwillenden. Op 2 februari waarschuwde het NCSC dat organisaties die EPMM gebruiken, ervan moeten uitgaan dat ze gehackt zijn, gevolgd door een oproep om zich te melden.
Demissionair staatsecretaris van Justitie en Veiligheid Rutte en demissionair staatssecretair voor Digitalisering Van Marum laten in een Kamerbrief weten dat in ieder geval de AP en de Rvdr tot de slachtoffers behoren. Bekend is dat werkgerelateerde gegevens van medewerkers van de AP, zoals naam, zakelijk e-mailadres en telefoonnummer, zijn ingezien door onbevoegden. Beide organisaties hebben inmiddels maatregelen getroffen.
Alle Ivanti EPMM-klanten kregen van het NCSC het advies om niet alleen updates te installeren, maar ook alle wachtwoorden van accounts die op het systeem aanwezig zijn te veranderen, de private keys die op het systeem in gebruik zijn te veranderen en het interne verkeer dat vanaf het systeem komt te monitoren op mogelijk laterale beweging.
Datalek gemeld
De medewerkers van de AP en de Rvdr zijn op de hoogte gebracht. De AP, normaal gesproken de organisatie waar datalekken moeten worden gemeld, heeft het datalek gemeld bij haar eigen Meldpunt Datalekken. Ook is het incident gemeld bij haar functionaris gegevensbescherming (FG). De Rvdr heeft bij de AP een voorlopige melding gedaan van een datalek.
Het NCSC monitort in samenwerking met internationale partners de verdere ontwikkelingen op de Ivanti-kwetsbaarheid. De CIO Rijk onderzoekt of er bredere impact is binnen het rijk.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.