Nieuws
image

Datalek Dienst Justitiële Inrichtingen door gehackte Ivanti EPMM-server

vrijdag 27 februari 2026, 08:12 door Redactie, 11 reacties

De Dienst Justitiële Inrichtingen (DJI) heeft de persoonlijke gegevens van medewerkers gelekt nadat aanvallers op de Ivanti EPMM-server die het gebruikt wisten in te breken. Dat meldt Argos op basis van een interne briefing die op 12 februari plaatsvond. Onlangs bleek dat ook de Ivanti EPMM-servers van de Autoriteit Persoonsgegevens en Raad voor de rechtspraak zijn gehackt. De door DJI gelekte gegevens bestaan uit e-mailadressen, telefoonnummers en beveiligingscertificaten van gebruikers van zakelijke mobiele telefoons, laptops en tablets.

Argos stelt dat de aanvallers vijf maanden lang toegang tot de Ivanti EPMM-server van DJI hadden en mogelijk nog steeds toegang hebben. Ivanti Endpoint Manager Mobile (EPMM) is een mobile management software engine waarmee mobile device management (MDM) mogelijk is. Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Een gecompromitteerde EPMM-server kan dan ook vergaande gevolgen hebben.

Ivanti kwam op 29 januari met een beveiligingsupdate voor een kritieke kwetsbaarheid in EPMM, waardoor ongeauthenticeerde aanvallers op afstand kwetsbare EPMM-servers kunnen overnemen. Onderzoek van de Duitse overheid wijst uit dat het beveiligingslek al sinds de zomer van vorig jaar is misbruikt bij aanvallen. DJI heeft het datalek bij de Autoriteit Persoonsgegevens gemeld.

Reacties (11)
Reageer met quote
27-02-2026, 10:29 door Anoniem
Mijn gegevens kunnen ook gelekt worden, maar zijn wel encrypted.
Dus een aanvaller heeft er niets aan.
Reageer met quote
27-02-2026, 10:46 door Anoniem
Medewerkers van gevangenissen, tbs-klinieken en vreemdelingenbewaring lopen extra risico op chantage en afpersing. Dat hun gegevens op straat liggen, is daardoor extra gevoelig. Onbekend is of dit al gevolgen heeft gehad.

https://www.nrc.nl/nieuws/2026/02/27/dienst-justitiele-inrichtingen-dji-gehackt-gegevens-van-medewerkers-gelekt-a4921673
Reageer met quote
27-02-2026, 10:47 door linuxpro
De tijd dat je je kon wapenen door dure Amerikaanse "oplossingen" zoals Die rommel van Ivanti naar binnen te rijden is wel voorbij. De hoogmoed komt voor het datalek zeg maar.
Reageer met quote
27-02-2026, 10:50 door Anoniem
Vijf maanden hackers in de systemen hebben zitten zonder ze te detecteren, dat is geen goede beurt voor de beheerders. Maar erger:
https://nos.nl/artikel/2604180-hackers-hadden-vijf-maanden-toegang-tot-gegevens-dji-medewerkers
Het is niet helemaal zeker of ze de volledige beheerderstoegang hadden, meldt Argos. Het is ook niet duidelijk of de hackers nog steeds toegang hebben tot het systeem.
Je trekt toch de netwerkkabel uit het systeem voordat je aan een schone herinstallatie gaat beginnen.
Reageer met quote
27-02-2026, 12:27 door Anoniem
Door Anoniem: Mijn gegevens kunnen ook gelekt worden, maar zijn wel encrypted.
Dus een aanvaller heeft er niets aan.

Weet jij heel zeker dat het encrypted is? Op de juiste wijze op het juiste moment?
Heb jij daar een controle op? Of ga je uit van wat jou wordt verteld?

Ik ben al vaker verrast dat encryptie niets meer was dan een verkooppraatje. In sommige gevallen is de data nooit encrypted geweest of door een verouderde encryptie methode.

Wie heeft de sleutels in beheer? Want vaak leg je het vertrouwen toch bij een andere partij neer.....

Kortom, encryptie ja, tuurlijk altijd doen! Is het veilig en kan je daar zonder meer op vertrouwen, nee zeker niet!
Reageer met quote
27-02-2026, 12:32 door Anoniem
Door linuxpro: De tijd dat je je kon wapenen door dure Amerikaanse "oplossingen" zoals Die rommel van Ivanti naar binnen te rijden is wel voorbij. De hoogmoed komt voor het datalek zeg maar.

Er zijn al heel andere mensen geweest die al eerder aan de klokkeluidersbel hingen om aan te geven dat er een en ander mis is bij DJI -wat een grote organisatie is.

Dat Argos er mee komt is dan ook cynisch te noemen. Die openbaarde jaartje terug ook dat broer van De Vriend van Volkert, in penitentaire inrichting werkte en jaren op hem gepast hebben. Was ook een VPRO radio uitzending over oud gelekt politierapport.
Reageer met quote
27-02-2026, 13:00 door Anoniem
Door Anoniem: Vijf maanden hackers in de systemen hebben zitten zonder ze te detecteren, dat is geen goede beurt voor de beheerders. Maar erger:
https://nos.nl/artikel/2604180-hackers-hadden-vijf-maanden-toegang-tot-gegevens-dji-medewerkers
Het is niet helemaal zeker of ze de volledige beheerderstoegang hadden, meldt Argos. Het is ook niet duidelijk of de hackers nog steeds toegang hebben tot het systeem.
Je trekt toch de netwerkkabel uit het systeem voordat je aan een schone herinstallatie gaat beginnen.
Je trekt ook niet de netwerkkabel er uit, maar je trekt het complete device er uit. Je kunt het device nooit meer 100% vertrouwen. Er kan een BIOS aanpassing ergens in zitten, die later hergebruikt kan worden.

Het device zal forensisch onderzocht worden en daarna in een shredder gaan.
Reageer met quote
27-02-2026, 16:20 door Anoniem
Het NCSC Nationaal Cyber Security Centrum heeft een toelichting gepubliceerd over de kwetsbaarheden in Ivanti EPMM.

Lees de "alert" met tijdlijn, scanscript, duiding en handelingsperspectieven.
https://www.ncsc.nl/alerts/casus-kwetsbaarheden-ivanti-epmm-systemen

Handelingsperspectief:
Het NCSC heeft in samenwerking met Ivanti een scanscript: Security Advisory Ivanti EPPM (End Point Manager Mobile) (CVE-2026-1281 & CVE-2026-1340) beschikbaar gesteld om technisch onderzoek te doen op de Ivanti EPMM omgeving. Dit scanscript stelt organisaties in staat om zelf onderzoek te doen naar mogelijke compromitatie van hun systemen.

Op 6 februari is een eerste versie uitgebracht. Inmiddels is deze geüpdatet. Gebruik voor onderzoek de meest actuele versie die op 12 februari gepubliceerd is.
In deze geüpdatet versie zijn nieuwe IoC's (Indicators of Compromise) toegevoegd en is de detectie van webshells verbeterd. Het scanscript wordt in de vorm van een RPM package uitgegeven en is hier te vinden:
https://hub.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-1281-CVE-2026-1340
Reageer met quote
27-02-2026, 18:01 door Anoniem
Tijd om alle IT van de overheid te centraliseren. Nu is het organisatie B, gisteren was het A en allemaal gebruiken ze andere producten die ze niet goed kunnen onderhouden. Als organisatie ben je immers afhankelijk van je leverancier dus als die te laat ingrijpt ben je de klos. Vervolgens moet de overheid lifecycle management goed regelen, dus patches of nieuwste versies snel inzetten. Geen vertrouwen dat dit gemiddeld snel genoegd bij de rijksoverheid. Dus 1 leverancier, hogere salarissen, uniform te onderhouden platform.
Reageer met quote
28-02-2026, 17:46 door Anoniem
Door Anoniem: Tijd om alle IT van de overheid te centraliseren. Nu is het organisatie B, gisteren was het A en allemaal gebruiken ze andere producten die ze niet goed kunnen onderhouden. Als organisatie ben je immers afhankelijk van je leverancier dus als die te laat ingrijpt ben je de klos. Vervolgens moet de overheid lifecycle management goed regelen, dus patches of nieuwste versies snel inzetten. Geen vertrouwen dat dit gemiddeld snel genoegd bij de rijksoverheid. Dus 1 leverancier, hogere salarissen, uniform te onderhouden platform.
Je weet misschien niet dat heel veel door de overheid centraal ingekocht wordt?

Maar top idea, laten we allemaal Pulse VPN gaan gebruiken en Citrix.
Reageer met quote
01-03-2026, 18:25 door Anoniem
Door Anoniem: Mijn gegevens kunnen ook gelekt worden, maar zijn wel encrypted.
Dus een aanvaller heeft er niets aan.
Ge-encrypt als in: jij download encrypted containers naar een laptop...disconnect laptop en gaat dan met een aparte sleutel usb files openen.... Na lezen wis je de laptop? En reinstall voor hergebruik...

Updates alleen via andere usb en zorgvuldige procedures.

Encrypted disk waar je files zo kan bewerken is niet veilig voor deze overvallen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search