Rechtspraak getroffen door Ivanti-lek: Geen toegang tot apps

In dit artikel:

De Nederlandse Rechtspraak meldt dat aanvallers via een kwetsbaarheid in Ivanti Endpoint Manager Mobile toegang hebben gekregen tot personeelsgegevens. De inbreuk, gekoppeld aan CVE-2026-1281 (een kritisch beveiligingslek met CVSS 9.8), maakte het mogelijk gegevens zoals voor- en achternamen, zakelijke telefoonnummers en e-mailadressen uit een database te halen. Het incident kwam aan het licht na een waarschuwing van het NCSC; de Rechtspraak heeft een extern onderzoeksbureau ingeschakeld.

Door het misbruik functioneren bepaalde mobiele applicaties niet meer: medewerkers kunnen Microsoft 365 en interne apps zoals Divos Rechtspraak en Digitaal Werkdossier op smartphones en iPads niet gebruiken, al werken deze diensten wel op laptops. Het NCSC waarschuwde dat patchen een eerder opgetreden compromittering niet ongedaan maakt en adviseert organisaties het ‘assume breach’-scenario te hanteren en zich te melden.

De Rechtspraak was al van plan over te stappen van Ivanti naar Microsoft Intune en heeft die migratie nu fors versneld; uitrol binnen de organisatie moet binnen twee weken plaatsvinden. Ook andere overheidsinstanties, waaronder de Autoriteit Persoonsgegevens, zijn door dezelfde kwetsbaarheid getroffen.