Autoriteit Persoonsgegevens en Raad voor de rechtspraak gehackt via Ivanti-lek

In dit artikel:

Aanvallers hebben misbruikgemaakt van kwetsbaarheden in Ivanti Endpoint Manager Mobile (EPMM) en daarmee de EPMM-servers van de Autoriteit Persoonsgegevens (AP) en de Raad voor de rechtspraak gehackt, meldt demissionair staatssecretaris Rutte aan de Tweede Kamer. Bij de AP zijn werkgerelateerde gegevens van medewerkers ontsloten, zoals namen, zakelijke e-mailadressen en telefoonnummers. Direct na ontdekking zijn maatregelen genomen en medewerkers geïnformeerd; de AP heeft het incident gemeld bij haar functionaris voor gegevensbescherming, de Raad deed een voorlopige melding van een datalek.

Het Nationaal Cyber Security Centrum (NCSC) riep eerder organisaties die Ivanti EPMM gebruiken op ervan uit te gaan dat hun servers zijn gecompromitteerd en zich bij het NCSC te melden voor advies. Ivanti bracht vorige week patches uit voor twee actief aangevallen, kritieke kwetsbaarheden (CVE-2026-1281 en CVE-2026-1340) die een externe, ongeauthenticeerde aanvaller in staat stellen code uit te voeren; beide lekken zijn beoordeeld met een 9,8.

EPMM is een mobile device management-oplossing waarmee organisaties mobiele toestellen op afstand kunnen beheren; bij een gecompromitteerde server zijn daarom verstrekkende gevolgen mogelijk. Ivanti heeft niet aangegeven sinds wanneer misbruik plaatsvindt of hoeveel klanten getroffen zijn. De CIO Rijk onderzoekt of meer overheidsinstanties geraakt zijn. Het NCSC adviseert een ‘assume-breach’-aanpak en snelle mitigatie voor organisaties die EPMM inzetten.