Ivanti-datalek treft Belgische Staatsveiligheid
Volgens de Franstalige omroep RTBF konden de aanvallers geen geclassificeerde informatie bereiken. Toch zorgt het incident voor bezorgdheid, omdat contactgegevens van medewerkers van de inlichtingendienst mogelijk in verkeerde handen zijn terechtgekomen. De inbraak zou hebben plaatsgevonden tussen mei 2025 en het voorjaar van 2026. De hackers maakten gebruik van kwetsbaarheden in Ivanti Endpoint Manager Mobile (EPMM), een platform waarmee organisaties smartphones en tablets beheren en beveiligen. Bij de Staatsveiligheid wordt die software onder meer ingezet voor diensttelefoons en toegangsbeheer.
Uit een intern onderzoek blijkt dat gegevens zoals namen, telefoonnummers en e-mailadressen van medewerkers zijn geraadpleegd. Mogelijk zijn ook gegevens van externe contacten buitgemaakt. Ivanti waarschuwde eerder al dat via de getroffen software eveneens toestelinformatie en locatiegegevens konden worden ingezien.
Gevoelige informatie, ook zonder staatsgeheimen
Hoewel de aanvallers volgens de huidige informatie geen toegang kregen tot systemen waarin vertrouwelijke of geheime documenten worden verwerkt, betekent dat niet dat de buit onschuldig is. Contactgegevens, locatiegegevens en andere metadata kunnen waardevolle informatie opleveren voor spionageactiviteiten. Met dergelijke gegevens kunnen aanvallers bijvoorbeeld organisatiestructuren in kaart brengen, relaties tussen medewerkers blootleggen of doelwitten selecteren voor gerichte phishingaanvallen.
De kwetsbaarheden in Ivanti EPMM zijn al langer bekend. De Amerikaanse cyberwaakhond CISA waarschuwde eerder dat cybercriminelen en spionagegroepen de lekken actief gebruikten om gegevens uit getroffen organisaties te halen.
De Belgische Staatsveiligheid staat niet alleen. Dezelfde kwetsbaarheden werden eerder gelinkt aan incidenten bij onder meer de Europese Commissie, de Nederlandse Rechtspraak, de Autoriteit Persoonsgegevens en de Dienst Justitiële Inrichtingen. Daardoor groeit het vermoeden dat de aanvallen deel uitmaken van een bredere campagne tegen organisaties die gebruikmaakten van Ivanti’s mobiele beheerplatform. Verschillende beveiligingsbedrijven brachten die campagne eerder in verband met UNC5221, een vermoedelijke Chinese cyberspionagegroep. Voor het incident bij de Belgische Staatsveiligheid is echter nog geen officiële dader aangewezen.
Staatsveiligheid opnieuw in het vizier
De beveiligingslekken in Ivanti EPMM zijn ondertussen gedicht. Hoe lang de aanvallers precies toegang hadden tot de systemen voordat de inbraak werd ontdekt, is niet bekend. De Staatsveiligheid heeft voorlopig geen verdere details vrijgegeven. Het is bovendien niet de eerste keer dat de Belgische inlichtingendienst met een cyberincident wordt geconfronteerd. Tussen 2021 en 2023 werd de VSSE ook al getroffen via een kwetsbaarheid in software van Barracuda. Belgische media meldden toen dat ongeveer tien procent van het e-mailverkeer via een externe server kon worden onderschept.
Ook in dat geval bleven geheime documenten buiten bereik, maar kwamen wel persoonsgegevens in gevaar. Hoewel beide incidenten gelijkaardige kenmerken vertonen, is er voorlopig geen aanwijzing dat ze met elkaar verbonden zijn.
