DJI gehackt: hackers vijf maanden toegang tot systemen - waarschijnlijk nog steeds binnen

In dit artikel:

De Dienst Justitiële Inrichtingen (DJI) is ernstig gehackt: aanvallers gebruikten een kwetsbaarheid in de Ivanti EPMM-beveiligingssoftware en hadden naar schatting minstens vijf maanden toegang tot interne systemen. Medewerkers werden op 12 februari intern geïnformeerd; DJI heeft het incident gemeld bij de Autoriteit Persoonsgegevens, maar het is onduidelijk of de hackers inmiddels definitief zijn buitengewerkt.

Gevoelige gegevens van personeel — e‑mailadressen, telefoonnummers, beveiligingscertificaten en beheermogelijkheden voor mobiele apparaten — zijn ingezien of gelekt. DJI vroeg medewerkers uit voorzorg locatievoorzieningen uit te schakelen. Voormalig gevangenisdirecteur Klaas Brandsma waarschuwt dat het vooral risicovol is omdat het om leidinggevenden en cipiers gaat die met gevaarlijke gedetineerden werken: “Als je iemand wilt chanteren of bedreigen, is het handig als je hun contactgegevens hebt.”

Het lek voedt ook twijfel over geplande centrale digitale identiteiten: als de organisatie die gevangenissen en TBS‑klinieken bestuurt al niet voldoende digitaal kan beschermen, stijgt het risico op identiteitsdiefstal, chantage of sabotage bij grotere overheidsdatabanken. DJI heeft patching uitgevoerd, maar de kans op blijvende toegang en nader misbruik blijft reden tot zorg.