Digitale indringers hebben minstens vijf maanden toegang gehad tot systemen van de Dienst Justitiële Inrichtingen. Dat blijkt uit onderzoek van het radioprogramma Argos. De aanvallers konden onder meer e-mailadressen, telefoonnummers en beveiligingscertificaten van medewerkers inzien. Ook hadden zij via beheersoftware de mogelijkheid om mobiele apparaten zoals telefoons, tablets en laptops op afstand aan te sturen.

De datalekken liggen extra gevoelig omdat DJI verantwoordelijk is voor onder meer gevangenissen, tbs-klinieken en jeugdinrichtingen. Medewerkers lopen door de aard van hun werk een verhoogd risico op bedreiging, chantage of afpersing. Het is niet duidelijk of de aanvallers volledige beheerdersrechten hadden of nog steeds toegang hebben tot de systemen. DJI doet daar geen uitspraken over.
De indringers kwamen binnen via een kwetsbaarheid in Ivanti EPMM, software voor het beheren en beveiligen van mobiele apparaten. Via deze software kunnen organisaties onder andere updates uitvoeren en apparaten op afstand wissen. Volgens het Nationaal Cyber Security Centrum kunnen de aangetroffen kwetsbaarheden aanvallers in staat stellen willekeurige code uit te voeren en daarmee systemen over te nemen. Het NCSC waarschuwt dat bij dergelijke incidenten achterdeurtjes kunnen worden geplaatst, waardoor toegang ook na een update kan blijven bestaan.

Zorgelijk

DJI heeft het incident laten onderzoeken door een externe specialistische partij en medewerkers op 12 februari geïnformeerd. Daarbij werd erkend dat eerder werd aangenomen dat de data veilig waren, maar dat dit niet het geval bleek. Medewerkers is geadviseerd locatiegegevens op mobiele apparaten uit te schakelen.
Staatssecretaris Claudia van Bruggen noemt de hack zorgelijk en benadrukt dat de veiligheid van medewerkers vooropstaat. Ook de Autoriteit Persoonsgegevens en de Raad voor de rechtspraak werden via dezelfde kwetsbaarheid getroffen. De oorzaak en exacte impact van het incident worden nog onderzocht.