Beheer

Security
Autoriteit Persoonsgegevens

75 Exchange-datalekken gemeld bij toezichthouder

Autoriteit Persoonsgegevens vreest dat er meer problemen zijn.

19 maart 2021

Autoriteit Persoonsgegevens vreest dat er meer problemen zijn.

Bij de Autoriteit Persoonsgegevens (AP) zijn de afgelopen weken 75 meldingen geweest van datalekken bij organisaties die Microsoft Exchange Server gebruiken. De toezichthouder vreest echter dat het werkelijk aantal bedrijven met organisaties hoger ligt dan deze 75. Daarom roept de AP organisaties "met klem" op om hun systemen te controleren.

Het NCSC becijferde begin deze week dat minstens 1.200 kwetsbare Nederlandse Exchange-servers vrijwel zeker geïnfecteerd zijn. Deze servers hebben de noodpatches die Microsoft begin maart uitbracht, nog altijd niet geïnstalleerd. 75 organisaties hebben de afgelopen weken dus melding van een datalek gemaakt bij de AP als gevolg van de kwetsbaarheden, meldt de toezichthouder op zijn website. 

Criminelen hebben vaak alle e-mailcommunicatie en adressenlijsten in kunnen zien, kunnen kopiëren en kunnen verzenden naar een extern adres voor verder misbruik, zegt AP-voorzitter Aleid Wolfsen. Het is voor cybercriminelen echter ook mogelijk om eigen software te installeren, bijvoorbeeld ransomware. "Als criminelen eenmaal binnen zijn, gaan ze vaak een tijdje hun gang binnen het systeem van zo’n organisatie. Door ransomware-software te installeren, houden ze de organisatie in hun greep, zelfs nadat het lek gedicht is."

Controleer systemen

Wolfsen is bang dat er meer meldingen van datalekken en een golf van ransomware-aanvallen komt, omdat veel andere inbraken nog niet zijn opgemerkt door organisaties. De AP roept organisaties daarom op hun systemen te controleren op eventuele aanvallen en om alert te zijn op verdachte bewegingen binnen hun netwerk. Mocht er een datalek geconstateerd worden, dan zijn organisaties wettelijk verplicht deze binnen 72 uur bij de AP te melden en het lek zo snel mogelijk te dichten. 

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.