De Autoriteit Persoonsgegevens heeft de afgelopen weken 75 meldingen van datalekken ontvangen die zijn veroorzaakt door inbraken op Microsoft Exchange-servers. De toezichthouder verwacht dat het werkelijke aantal datalekken veel hoger ligt en veel inbraken nog niet door organisaties zijn ontdekt.

Door vier kwetsbaarheden in Microsoft Exchange is het mogelijk om kwetsbare servers op afstand over te nemen en met malware te infecteren. Microsoft rolde op 2 maart noodpatches voor de beveiligingslekken uit, maar de kwetsbaarheden zijn al voor het uitkomen van de updates misbruikt. "Als criminelen eenmaal binnen zijn, gaan ze vaak een tijdje hun gang binnen het systeem van zo’n organisatie. Door ransomware-software te installeren, houden ze de organisatie in hun greep, zelfs nadat het lek gedicht is", aldus AP-voorzitter Aleid Wolfsen.

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid meldde eerder deze week dat er nog twaalfhonderd kwetsbare Exchange-servers in Nederland zijn te vinden waarop de beveiligingsupdates niet zijn geïnstalleerd. Van deze machines moet worden aangenomen dat ze met malware zijn geïnfecteerd, zo waarschuwde het NCSC. De Autoriteit Persoonsgegevens vreest daarom dat er nog veel meer problemen zijn dan alleen de 75 binnengekomen datalekmeldingen.

Organisaties worden met klem door de privacytoezichthouder opgeroepen om hun systemen te controleren en alert te zijn op verdachte bewegingen binnen hun netwerk. Ook roept de Autoriteit Persoonsgegevens organisaties op om datalekken te melden. De AP merkt namelijk dat organisaties lang niet alle datalekken melden die zij zouden moeten melden. Dat wordt bijvoorbeeld duidelijk als slachtoffers een klacht of tip bij de AP achterlaten.

"Dit is zeer ernstig. Want als mensen niet weten dat hun gegevens mogelijk in het bezit zijn van criminelen, kunnen zij geen maatregelen treffen. Zoals hun wachtwoord wijzigen of hun creditcard blokkeren. De schade kan dan flink oplopen", merkt Wolfsen op. De Autoriteit Persoonsgegevens is bezig met onderzoek naar negen datalekken die niet op tijd zijn gemeld. Organisaties die een datalek te laat melden kunnen een boete krijgen.