Aanvallers zijn erin geslaagd de Ivanti EPMM-server van de Autoriteit Persoonsgegevens (AP) en Raad voor de rechtspraak te hacken. In het geval van de AP hebben de aanvallers toegang gekregen tot werkgerelateerde gegevens van medewerkers van de AP, zoals naam, zakelijk e-mailadres en telefoonnummer. Dat schrijft demissionair staatssecretaris Rutte van Justitie en Veiligheid in een brief aan de Tweede Kamer.

Het Nationaal Cyber Security Centrum (NCSC) liet eerder deze week weten dat Nederlandse organisaties die van Ivanti Endpoint Manager Mobile (EPMM) gebruikmaken ervan moeten uitgaan dat hun server is gehackt. Ook werden organisaties die met EPMM werken door het NCSC opgeroepen om zich bij de overheidsinstantie te melden om zo aanvullende informatie en handelingsperspectief te ontvangen.

Ivanti Endpoint Manager Mobile is een mobile management software engine waarmee mobile device management (MDM) mogelijk is. Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Een gecompromitteerde EPMM-server kan dan ook vergaande gevolgen hebben.

Vorige week kwam Ivanti met beveiligingsupdates voor twee actief aangevallen kwetsbaarheden in de oplossing. CVE-2026-1281 en CVE-2026-1340 laten een ongeauthenticeerde aanvaller op afstand code op kwetsbare servers uitvoeren. De impact van beide beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Al voor het uitkomen van de patches vindt misbruik van de kwetsbaarheden plaats. Sinds wanneer precies is niet bekendgemaakt en ook het aantal getroffen klanten werd niet door Ivanti vermeld.

"Het NCSC adviseert gebruikers van Ivanti EPMM om er vanuit te gaan dat het systeem is gecompromitteerd en een ‘assume-breach’ scenario te volgen. Het was reeds bekend dat CVE-2026-1281, al voordat Ivanti patches beschikbaar heeft gesteld, misbruikt werd als zogenaamde zero-day kwetsbaarheid", zo liet het NCSC via de eigen website weten. De overheidsinstantie stelt dat inmiddels duidelijk is geworden dat misbruik veel breder heeft plaatsgevonden dan eerder bekend was.

Rutte meldt dat "in ieder geval" de EPMM-server van de Autoriteit Persoonsgegevens en Raad voor de rechtspraak is gehackt. "Nadat het incident is ontdekt, zijn direct maatregelen getroffen. Daarnaast zijn de medewerkers van de AP en de Raad voor de rechtspraak op de hoogte gebracht. De AP heeft bij haar functionaris voor gegevensbescherming melding gemaakt van het incident. De Raad voor de rechtspraak heeft bij de AP een voorlopige melding gedaan van een datalek", aldus de staatssecretaris. Verdere details zijn op dit moment niet gegeven, behalve dat de CIO Rijk binnen de Rijksoverheid kijkt of er meer instanties zijn getroffen.