Een kwetsbaarheid in Ivanti Endpoint Manager Mobile heeft geleid tot datalekken bij de Autoriteit Persoonsgegevens en de Raad voor de rechtspraak. Beide instanties namen direct maatregelen, terwijl het Nationaal Cyber Security Centrum waarschuwt dat het misbruik wijdverbreider is dan aanvankelijk gedacht.
Twee overheidsinstanties getroffen
De Autoriteit Persoonsgegevens (AP) en de Raad voor de rechtspraak (Rvdr) zijn getroffen door misbruik van een beveiligingslek in Ivanti Endpoint Manager Mobile (EPMM), software die wordt gebruikt voor het beheer en de beveiliging van mobiele apparaten. Het Nationaal Cyber Security Centrum (NCSC) werd op 29 januari door Ivanti geïnformeerd over de kwetsbaarheden. Kort daarna bleek dat in ieder geval bij de AP en de Rvdr ongeautoriseerde toegang is verkregen.
Volgens de demissionair staatssecretarissen van Justitie en Veiligheid en van Binnenlandse Zaken gaat het bij de AP om werkgerelateerde gegevens van medewerkers, zoals namen, zakelijke e-mailadressen en telefoonnummers. Welke gegevens bij de Rvdr zijn ingezien, is nog niet bekendgemaakt. Beide organisaties hebben hun medewerkers geïnformeerd en melding gemaakt van het incident bij de relevante instanties.
Breder misbruik en extra voorzorgsmaatregelen
Het NCSC bevestigt dat er sprake is van actief misbruik van twee Ivanti-kwetsbaarheden, waarvan één (CVE-2026-1281) al is uitgebuit. De organisatie waarschuwt dat het probleem waarschijnlijk breder speelt dan aanvankelijk werd aangenomen. Organisaties die EPMM gebruiken, wordt geadviseerd uit te gaan van een zogenoemd assume-breach-scenario: het systeem moet als gecompromitteerd worden beschouwd, ook na het installeren van updates.
Ivanti heeft inmiddels een detectietool beschikbaar gesteld waarmee organisaties kunnen controleren of hun systemen mogelijk zijn misbruikt. Toch biedt dit geen volledige zekerheid, aangezien kwaadwillenden sporen kunnen hebben gewist. Het NCSC roept organisaties op om wachtwoorden en private keys te vernieuwen, netwerkverkeer te monitoren en verdachte activiteiten te melden.
