De Dienst Justitiële Inrichtingen (DJI) heeft de persoonlijke gegevens van medewerkers gelekt nadat aanvallers op de Ivanti EPMM-server die het gebruikt wisten in te breken. Dat meldt Argos op basis van een interne briefing die op 12 februari plaatsvond. Onlangs bleek dat ook de Ivanti EPMM-servers van de Autoriteit Persoonsgegevens en Raad voor de rechtspraak zijn gehackt. De door DJI gelekte gegevens bestaan uit e-mailadressen, telefoonnummers en beveiligingscertificaten van gebruikers van zakelijke mobiele telefoons, laptops en tablets.

Argos stelt dat de aanvallers vijf maanden lang toegang tot de Ivanti EPMM-server van DJI hadden en mogelijk nog steeds toegang hebben. Ivanti Endpoint Manager Mobile (EPMM) is een mobile management software engine waarmee mobile device management (MDM) mogelijk is. Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Een gecompromitteerde EPMM-server kan dan ook vergaande gevolgen hebben.

Ivanti kwam op 29 januari met een beveiligingsupdate voor een kritieke kwetsbaarheid in EPMM, waardoor ongeauthenticeerde aanvallers op afstand kwetsbare EPMM-servers kunnen overnemen. Onderzoek van de Duitse overheid wijst uit dat het beveiligingslek al sinds de zomer van vorig jaar is misbruikt bij aanvallen. DJI heeft het datalek bij de Autoriteit Persoonsgegevens gemeld.