AP ontvangt 75 datalekmeldingen na lekken in Microsoft Exchange-servers

De Autoriteit Persoonsgegevens (AP) heeft de afgelopen weken 75 meldingen gekregen van datalekken bij organisaties die Microsoft Exchange Server gebruiken om e-mail te ontvangen en versturen. Het Nationaal Cyber Security Centrum (NCSC) meldde dat er ten minste 1200 Nederlandse servers waarop Microsoft Exchange staat zijn geïnfecteerd. De AP vreest daarom dat er nog veel meer problemen zijn dan alleen de 75 binnengekomen datalekmeldingen. De AP roept organisaties met klem op hun systemen te controleren.

Aleid Wolfsen, voorzitter van de AP: 'Wereldwijd zijn veel organisaties geraakt, ook in Nederland. Wij zien aan de binnengekomen meldingen dat criminelen vaak alle e-mailcommunicatie en adressenlijsten hebben kunnen inzien, kopiëren en verzenden naar een extern adres voor verder misbruik.Omdat we tot nu toe 75 meldingen hebben ontvangen, vrezen we dat veel andere inbraken nog niet zijn opgemerkt. We verwachten daarom nog meer datalekmeldingen en een golf van ransomware-gevallen", aldus Wolfsen.

Ransomware
Aanvallers konden via kwetsbaarheden in de software van Microsoft in mailaccounts komen, data stelen en hun eigen software installeren.

Wolfsen: "Als criminelen eenmaal binnen zijn, gaan ze vaak een tijdje hun gang binnen het systeem van zo’n organisatie. Door ransomware-software te installeren, houden ze de organisatie in hun greep, zelfs nadat het lek gedicht is. Hiermee kunnen ze bijvoorbeeld de server plat leggen, zodat het bedrijf niet meer kan functioneren. Om de buit nog groter te maken, proberen ze vaak met deze ransomware-software het bedrijf af te persen."

Identiteitsfraude
De AP roept organisaties op om hun systemen te controleren op eventuele aanvallen. En om steeds alert te zijn op verdachte bewegingen binnen hun netwerk. 

Organisaties zijn wettelijk verplicht om een datalek zo snel mogelijk te dichten en het lek binnen 72 uur te melden bij de AP. Ook moeten zij meestal de mensen om wie het gaat informeren over het datalek. Zodat zij zelf ook in actie kunnen komen om de schade te beperken. Bijvoorbeeld door hun creditcard te blokkeren. 

Wolfsen: "Datadiefstal is afgelopen jaar met 30% toegenomen. Dat persoonsgegevens steeds vaker het doelwit zijn van criminelen, is zeer verontrustend. Want door diefstal van persoonlijke – en vaak gevoelige – informatie kunnen mensen veel schade ondervinden. Bijvoorbeeld als criminelen de buitgemaakte persoonsgegevens gebruiken voor identiteitsfraude of oplichting."

Datalek op tijd melden
Organisaties met een datalek moeten dat melden bij de AP via het meldloket datalekken. De AP merkt dat organisaties lang niet alle datalekken melden die zij zouden moeten melden. Dat wordt bijvoorbeeld duidelijk als slachtoffers een klacht of tip bij de AP achterlaten.

Wolfsen: "Dit is zeer ernstig. Want als mensen niet weten dat hun gegevens mogelijk in het bezit zijn van criminelen, kunnen zij geen maatregelen treffen. Zoals hun wachtwoord wijzigen of hun creditcard blokkeren. De schade kan dan flink oplopen."
Op dit moment heeft de AP negen onderzoeken lopen naar datalekken die niet of niet op tijd zijn gemeld. Organisaties die een datalek niet (op tijd) melden bij de AP, zijn in overtreding en kunnen een boete krijgen.

Meer informatie: Rapportage datalekken 2020.
Geplaatst op 30-03-2021


Share on: