De Nederlandse Autoriteit voor Gegevensbescherming (AP) en de Raad voor de Rechtspraak hebben bevestigd dat beide instanties (Rvdr) hebben bekendgemaakt dat hun systemen zijn getroffen door cyberaanvallen die misbruik maakten van de onlangs onthulde beveiligingsfouten in Ivanti Endpoint Manager Mobile (EPMM), volgens een bericht dat vrijdag aan het parlement van het land is gestuurd.
“Op 29 januari werd het Nationaal Cyber Security Centrum (NCSC) door de leverancier geïnformeerd over kwetsbaarheden in EPMM”, aldus de Nederlandse autoriteiten. “EPMM wordt gebruikt om mobiele apparaten, apps en inhoud te beheren, inclusief hun beveiliging.”
“Het is inmiddels bekend dat werkgerelateerde gegevens van AP-medewerkers, zoals namen, zakelijke e-mailadressen en telefoonnummers, in handen zijn gekomen van onbevoegden.”
Deze ontwikkeling komt op het moment dat de Europese Commissie ook onthulde dat haar centrale infrastructuur die mobiele apparaten beheert, ‘sporen’ heeft geïdentificeerd van een cyberaanval die mogelijk heeft geresulteerd in toegang tot de namen en mobiele nummers van sommige van haar personeelsleden. De Commissie zei dat het incident binnen negen uur onder controle was en dat er geen inbreuk op mobiele apparaten werd gedetecteerd.
“De Commissie neemt de veiligheid en veerkracht van haar interne systemen en gegevens serieus en zal de situatie blijven monitoren”, voegde het eraan toe. “Het zal alle noodzakelijke maatregelen nemen om de veiligheid van zijn systemen te garanderen.”
Hoewel de naam van de leverancier werd gespecificeerd en er geen details werden gedeeld over hoe de aanvallers toegang wisten te krijgen, wordt vermoed dat deze verband houdt met kwaadaardige activiteiten die misbruik maken van fouten in Ivanti EPMM.
De Finse aanbieder van informatie- en communicatietechnologie, Valtori, maakte ook een inbreuk bekend waarbij werkgerelateerde gegevens van maar liefst 50.000 overheidswerknemers openbaar werden gemaakt. Het incident, geïdentificeerd op 30 januari 2026, was gericht op een zero-day-kwetsbaarheid in de beheerservice voor mobiele apparaten.
Het bureau zei dat het de corrigerende patch op 29 januari 2026 had geïnstalleerd, dezelfde dag dat Ivanti fixes uitbracht voor CVE-2026-1281 en CVE-2026-1340 (CVSS-scores: 9,8), die door een aanvaller konden worden uitgebuit om niet-geverifieerde externe code uit te voeren.
Ivanti heeft erkend dat de kwetsbaarheden als zero-days zijn uitgebuit en dat een “zeer beperkt aantal klanten” is uitgebuit, maar heeft geen bijgewerkte aantallen slachtoffers verstrekt.
De aanvaller zou toegang hebben gekregen tot informatie die wordt gebruikt bij het exploiteren van de dienst, waaronder namen, zakelijke e-mailadressen, telefoonnummers en apparaatgegevens.
“Onderzoek heeft aangetoond dat het beheersysteem de verwijderde gegevens niet permanent heeft verwijderd, maar deze alleen als verwijderd heeft gemarkeerd”, aldus het rapport. “Als gevolg hiervan kunnen apparaat- en gebruikersgegevens van alle organisaties die de dienst tijdens de levenscyclus hebben gebruikt, in gevaar zijn gebracht. In bepaalde gevallen kan een enkel mobiel apparaat meerdere gebruikers hebben.”
WatchTowr CEO Benjamin Harris vertelde The Hacker News in een verklaring per e-mail dat de aanvallen geen daden van willekeurig opportunisme zijn, maar eerder het werk van een “zeer bekwame, goed uitgeruste acteur die een precisiecampagne uitvoert.”
“Aanvallers richten zich op uw meest vertrouwde, diepgewortelde bedrijfssystemen. Alles wat als ‘intern’ of ‘veilig’ wordt beschouwd, moet nu met argwaan worden bekeken”, aldus Harris.
“Veerkracht is net zo belangrijk als preventie, vooral wanneer aanvallers snel handelen en met chirurgische precisie opereren. Wat kleine hoofdpijn onderscheidt van regelrechte crises is snelheid: hoe snel teams afwijkingen identificeren, zwakke punten valideren en de schade beperken.”
