‘Hackers hadden vijf maanden toegang tot gegevens DJI-medewerkers’

Hackers hadden minstens vijf maanden lang toegang tot de systemen van Dienst Justitiële Inrichtingen (DJI). Dat blijkt uit onderzoek van radioprogramma Argos. De cybercriminelen konden gegevens zoals e-mailadressen, telefoonnummers en beveiligingscertificaten van medewerkers inzien.

Dat deze gegevens zijn gelekt ligt gevoelig omdat medewerkers van bijvoorbeeld gevangenissen vanwege hun werk het risico lopen om afgeperst of gechanteerd te worden.

Ook konden de hackers mobiele apparaten zoals telefoons en tablets of laptops op afstand beheren. Het is niet helemaal zeker of ze de volledige beheerderstoegang hadden, meldt Argos. Het is ook niet duidelijk of de hackers nog steeds toegang hebben tot het systeem. Een woordvoerder van DJI wil daar niets over kwijt.

De cybercriminelen wisten binnen te komen via software die DJI zelf gebruikt om mobiele apparaten te beheren en beveiligen. Als de cybercriminelen nog toegang hebben tot het systeem, zouden ze data van DJI kunnen stelen.

DJI heeft het datalek laten onderzoeken door een “externe, hierin gespecialiseerde partij”, schrijft Argos. De medewerkers zijn hier op 12 februari over ingelicht. De organisatie heeft hun laten weten dat het eerst in de veronderstelling was dat de gegevens van DJI veilig waren, maar dat dit later niet zo bleek te zijn.

Staatssecretaris Claudia van Bruggen van Justitie en Veiligheid noemt de hack “zorgelijk”. Wat haar betreft is het het “allerbelangrijkst” dat de medewerkers veilig zijn. De staatssecretaris heeft geen reden om aan te nemen dat dit niet zo is, zegt ze, “maar het betekent wel dat we goed moeten onderzoeken wat er aan de hand is”.

Het is nog niet duidelijk of de locatiegegevens van de mobiele apparaten, en dus de plek van de gebruikers, zichtbaar waren voor de hackers. Volgens Argos worden die gegevens normaal gesproken wel opgeslagen in de database waarin de hackers digitaal hebben ingebroken.

De dienst heeft medewerkers geadviseerd om hun locatiegegevens op mobiele apparaten uit te zetten. Een woordvoerder van DJI bevestigt aan NOS dat er een datalek is geweest bij de dienst. Volgens haar is de digitale inbraak bij DJI onderdeel van een bredere hack binnen de Rijksoverheid. Ook de Autoriteit Persoonsgegevens en de Raad voor de rechtspraak werden door deze hack geraakt.

De woordvoerder van DJI zegt dat de oorzaak van het datalek en het cyberincident worden onderzocht en dat NCSC “de situatie nauwlettend in de gaten houdt”.