Inlognamen en wachtwoorden van ruim 900 bedrijven op straat

Cyber security De wachtwoorden van werknemers van zeker negenhonderd bedrijven zijn door hackers online gezet. Het ministerie van Justitie wist dat bedrijven kwetsbaar waren, maar greep niet in omdat dat wettelijk gezien niet mogelijk is.
Minister Grapperhaus (Justitie en Veiligheid, CDA) in de Tweede Kamer.
Minister Grapperhaus (Justitie en Veiligheid, CDA) in de Tweede Kamer. Foto Bart Maat/ANP

Een hacker heeft onlangs inlognamen en wachtwoorden online gezet van medewerkers van zeker negenhonderd bedrijven. Ook van een onbekend aantal Nederlandse bedrijven zijn deze gegevens geopenbaard. Het ministerie van Justitie en Veiligheid was vooraf gewaarschuwd, maar greep niet in omdat de bedrijven niet ‘vitaal’ zijn waardoor dit juridisch niet mogelijk was. Dat meldt Het Financieele Dagblad maandag.

Het gaat onder meer om een dochterbedrijf van industriegigant VDL, het datacenterbedrijf ITB2 en groothandel Coen Bakker Deco die onder meer kerstversieringen maakt. Buiten Nederland zijn onder meer het Spaanse onderzoeksinstituut CSIC, de Duitse porseleinfabrikant Villeroy & Boch en het Luxemburgse laboratoriumbedrijf Eurofins geraakt.

Voordat de informatie online gedeeld werd, hadden meerdere IT’ers bij het Nationaal Cyber Security Center (NCSC) van het ministerie van Justitie en Veiligheid gemeld dat honderden bedrijven kwetsbaar waren omdat zij verouderde software gebruikten. Deze informatie zou het NCSC grotendeels links hebben laten liggen, omdat de instantie zich alleen richt op de rijksoverheid en bedrijven in ‘vitale sectoren’ zoals banken en telecombedrijven.

Lees ook: Hoe twee IT’ers anderhalf jaar gratis konden treinen na geslaagde hack

Verruiming mandaat

Een woordvoerder van het ministerie zegt desgevraagd dat het NCSC „geen bevoegdheid heeft om organisaties die buiten het wettelijke mandaat vallen te informeren”. Een uitbreiding van dat mandaat zou een wetswijziging betekenen en is volgens haar daarom een „politieke discussie”. In het FD pleiten meerdere IT-experts voor een uitbreiding van het mandaat om ook niet-vitale bedrijven te beschermen tegen cybercriminelen.

Volgens techwebsite ZDNet zijn de data tussen 24 juni en 8 juli verzameld en gepubliceerd op een forum waarop veel Russische hackers actief zijn. De hacker zou gebruik hebben gemaakt van kwetsbaarheden in een oude versie van VPN-software van beveiligingsbedrijf Pulse Secure. Het is niet duidelijk in hoeverre de lek van de data schade heeft aangericht en wat het doel van de hacker was.