Aanvallers hadden maandenlang toegang tot systemen van Dienst Justitiële Inrichtingen
Aanvallen hadden zeker vijf maanden toegang tot de systemen van de Dienst Justitiële Inrichtingen (DJI). Via een lek in beveiligingssoftware kregen de aanvallers toegang tot gegevens van medewerkers en konden zij mobiele apparaten op afstand beheren.
Dit blijkt uit onderzoek van Argos. DJI is in Nederland verantwoordelijk voor onder meer gevangenissen, tbs-inrichtingen en vreemdelingenbewaring. De dienst informeerde medewerkers op 12 februari via een interne brief over het datalek en cyberincident. De dienst geeft aan het lek te melden de Autoriteit Persoonsgegevens (AP).
De organisatie waarschuwt dat e-mailadressen, telefoonnummers en beveiligingscertificaten van zakelijke mobiele telefoons, laptops en tablets zijn buitgemaakt. Of ook locatiegegevens van mobiele apparaten toegankelijk waren, is nog onduidelijk. DJI heeft medewerkers geadviseerd deze gegevens voor de zekerheid uit te schakelen.
Kwetsbaarheid in beveiligingssoftware
De indringers drongen binnen via een lek in Ivanti EPMM (Endpoint Manager Mobile), software die organisaties gebruiken om mobiele apparaten te beheren en beveiligen. Het Nationaal Cyber Security Centrum (NCSC) waarschuwt dat aanvallers niet alleen data kunnen stelen, maar ook controle over het systeem kunnen krijgen. Volgens het NCSC kunnen ongeauthentiseerde aanvallers willekeurige code uitvoeren op kwetsbare systemen, waardoor zij commando’s op mobiele apparaten kunnen uitvoeren.
Hoewel een update beschikbaar is waarmee het lek kan worden gedicht, betekent dit niet automatisch dat de aanvallers geen toegang meer hebben tot systemen. Zo waarschuwt het NCSC dat achterdeurtjes kunnen zijn geplaatst, waardoor aanvallers nog steeds toegang hebben en apparaten op afstand kunnen beheren. Cybersecurity-experts benadrukken dat gecompromitteerde systemen volledig opnieuw moeten worden geïnstalleerd om veiligheid te garanderen.
Meerdere organisaties getroffen
DJI is niet de enige organisatie die via deze kwetsbaarheid is getroffen. Op 6 februari werd al bekend dat de Autoriteit Persoonsgegevens en de Raad voor de Rechtspraak met een soortgelijk datalek te maken hadden. DJI bevestigt dat het lek de oorzaak is van het incident. De precieze oorzaak wordt nog onderzocht.
Meer over Security
Over Wouter Hoeffnagel
