Datalek DJI: persoonsgegevens medewerkers gelekt, chantage-risico door langdurige hack

In dit artikel:

De Dienst Justitiële Inrichtingen (DJI) is langdurig gehackt: aanvallers hadden via een kwetsbaarheid in Ivanti EPMM minstens vijf maanden toegang tot systemen van de organisatie die gevangenissen, tbs-klinieken en vreemdelingenbewaring beheert. Medewerkers werden op 12 februari geïnformeerd; onderzoek van Argos wijst erop dat de indringers mogelijk nog steeds binnen zijn.

Via het lek konden de hackers persoonsgegevens van personeelsleden inzien en mobiele apparatuur op afstand beheren. Gelekte gegevens zouden e‑mailadressen, telefoonnummers en beveiligingscertificaten omvatten; het is onduidelijk of locatiegegevens eveneens zijn buitgemaakt. DJI heeft het voorval gemeld bij de Autoriteit Persoonsgegevens en personeel gevraagd locatievoorzieningen uit te schakelen. Een voormalig gevangenisdirecteur waarschuwt dat juist medewerkers met risicovolle functies kwetsbaar worden voor chantage of bedreiging als hun privégegevens openbaar zijn.

DJI zegt het gat te dichten, maar het wekt zorg dat patchen geen garantie is dat alle achterdeurtjes weg zijn. De hack vergroot bovendien de twijfel over plannen voor een centrale digitale identiteit: als de beveiliging bij de gevangenisdienst zo te kort schiet, groeit het risico dat een centrale databank aantrekkelijk en kwetsbaar wordt voor misbruik.