Een ernstig beveiligingslek in software van Ivanti gaf hackers toegang tot personeelsdata van de Dienst Justitiële Inrichtingen (DJI). Dit meldt het ministerie van Justitie en Veiligheid. Het lek zat in Ivanti Connect Secure, een veelgebruikte VPN-oplossing. Aanvallers misbruikten dit lek om in te breken op systemen van de DJI. Daarbij kregen ze toegang tot gevoelige gegevens van medewerkers.
Het gaat om persoonsgegevens zoals namen, e-mailadressen en functieomschrijvingen. De DJI beheert gevangenissen en andere justitiële instellingen in Nederland. Het is nog onduidelijk hoeveel medewerkers precies getroffen zijn. De organisatie informeert de betrokken medewerkers persoonlijk over het datalek. Ook doet de DJI aangifte bij de politie en meldt het lek bij de Autoriteit Persoonsgegevens.
Het Ivanti-lek is geen nieuw probleem. Eerder waarschuwden beveiligingsexperts al voor kwetsbaarheden in Ivanti-producten. Meerdere organisaties wereldwijd zijn slachtoffer geworden van aanvallen via deze software. Ivanti bracht patches uit om de lekken te dichten. Toch slaagden aanvallers erin om systemen te compromitteren voordat updates werden geïnstalleerd. Dit incident toont opnieuw aan hoe belangrijk snelle updates en goede beveiliging zijn, zeker voor overheidsorganisaties met gevoelige data.
