Ivanti-lek gaf hackers toegang tot personeelsdata Dienst Justitiële Inrichtingen

In dit artikel:

De Dienst Justitiële Inrichtingen (DJI) is slachtoffer geworden van een datalek nadat aanvallers een kwetsbaarheid in Ivanti-securitysoftware (CVE-2026-1281) misbruikten. Onderzoek van cybersecuritybedrijf Argos laat zien dat de indringers minstens vijf maanden toegang hadden tot de Ivanti Endpoint Manager-server van DJI. Via die server konden ze bij een personeelsdatabase met zakelijke telefoonnummers, e-mailadressen en (beveiligings)certificaten; onduidelijk blijft of ook locatiegegevens zijn uitgelezen, terwijl die normaal gesproken in dezelfde database worden opgeslagen.

Ivanti EPMM wordt door DJI en veel andere (overheids)organisaties gebruikt om bedrijfs-telefoons te beheren — waaronder functies om apparaten op afstand te wissen of te updaten — waardoor kwaadwillenden mogelijk ook afstandsbediening over toestellen kunnen verkrijgen. Het Nationaal Cyber Security Centrum waarschuwde al dat de kwetsbaarheid gegevensdiefstal en systeemovername mogelijk maakt; eerder zijn via dezelfde fout ook gegevens van de Nationale Rechtspraak en de Autoriteit Persoonsgegevens gelekt.

Er is inmiddels een patch beschikbaar, maar die biedt geen garantie voor systemen die al gecompromitteerd zijn: aanvallers kunnen een achterdeur hebben geïnstalleerd. Volledige zekerheid vereist volgens NCSC een complete reset van het getroffen systeem.