De Autoriteit Persoonsgegevens (AP) is nu ook zelf getroffen door een datalek. De privacywaakhond die regelmatig boetes uitdeelt aan organisaties die datalekken niet of te laat melden, handelde volgens de voorschriften. De toezichthouder meldde het incident: bij zichzelf. De eigen functionaris voor gegevensbescherming werd op de hoogte gebracht.
In een brief aan de Tweede Kamer melden staatssecretaris Arno Rutte (Justitie en Veiligheid) en staatssecretaris Eddie van Marum (BZK) dat het bij de AP is misgegaan. Aanvallers wisten misbruik te maken van een kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM), voorheen Mobile Iron. Ook de Raad voor de Rechtspraak werd de dupe van een kritiek beveiligingslek in deze software voor het beheer van mobiele apparaten.
Bij de AP kregen onbevoegden toegang tot werkgerelateerde gegevens van medewerkers zoals naam, zakelijk e-mailadres en telefoonnummer.
Ivanti heeft inmiddels updates uitgebracht die dit lek en nog een ander lek kunnen verhelpen. Het NCSC meldde op 2 februari dat actief misbruik wordt gemaakt van het lek. Ivanti beweerde eerst dat slechts een zeer beperkt aantal klanten succesvol is aangevallen. Maar afgelopen woensdag zei het NCSC dat dit misbruik veel breder heeft plaatsgevonden dan eerder bekend was.
