De Europese ruimtevaartorganisatie ESA ligt opnieuw onder vuur na een gemeld beveiligingsincident. Cybercriminelen claimen meer dan 200 gigabyte aan data van de organisatie te hebben buitgemaakt en deze te koop aan te bieden op een hackersforum. De ESA bevestigt dat er sprake is van een incident, maar benadrukt dat de impact beperkt is gebleven en dat kritieke systemen niet zijn geraakt. Daarmee lopen de verklaringen van de organisatie en die van de aanvallers sterk uiteen.

In een bericht op X liet de ESA weten dat het incident vermoedelijk slechts een zeer klein aantal externe servers betreft. Deze systemen worden volgens de organisatie gebruikt voor niet-geclassificeerde technische en wetenschappelijke samenwerking met externe partijen. Direct na de ontdekking is een forensisch onderzoek gestart en zijn maatregelen genomen om de betrokken omgevingen veilig te stellen. Ook stelt ESA dat alle relevante partijen zijn geïnformeerd en dat aanvullende informatie volgt zodra het onderzoek is afgerond.

Ernstiger beeld

De claims van de aanvallers schetsen echter een aanzienlijk ernstiger beeld. Op het hackersforum BreachForums verscheen kort na Kerstmis een advertentie waarin wordt gesteld dat meer dan 200 GB aan ESA-gerelateerde data is buitgemaakt. Volgens de aanvaller werd al op 18 december toegang verkregen tot aan ESA gekoppelde externe servers en bleef die toegang ongeveer een week onopgemerkt. In die periode zouden grote hoeveelheden gevoelige informatie zijn gekopieerd, waaronder broncode, CI/CD-pipelines, API- en toegangstokens, configuratiebestanden en vertrouwelijke documenten. Ook wordt gesproken over hardcoded inloggegevens en een volledige dump van private Bitbucket-repositories.
Vooralsnog is het niet duidelijk in hoeverre deze claims kloppen. Pogingen om aanvullende toelichting van ESA te krijgen, hebben tot nu toe geen resultaat opgeleverd. De organisatie heeft laten weten dat de kantoren gesloten zijn vanwege de nieuwjaarsperiode, waardoor verdere duiding voorlopig uitblijft. Daarmee blijft onduidelijk welke systemen precies zijn geraakt en hoe groot de daadwerkelijke impact is.

Eerdere aanvallen

Het incident past in een bredere geschiedenis van beveiligingsproblemen bij aan ESA gelieerde systemen. Eerder werd de online winkel van de ruimtevaartorganisatie misbruikt voor phishingdoeleinden, waarbij een valse betaalpagina werd geplaatst. Ook in eerdere jaren werden externe ESA-domeinen gecompromitteerd via kwetsbaarheden, wat leidde tot het uitlekken van gegevens van medewerkers en abonnees. In die gevallen benadrukte ESA eveneens dat interne netwerken buiten schot waren gebleven.
Hoewel die boodschap formeel geruststellend klinkt, roept de herhaling van dergelijke incidenten vragen op over de structurele digitale weerbaarheid van aan ESA verbonden omgevingen. Ook wanneer kernsystemen intact blijven, laten deze gebeurtenissen zien dat externe platforms en samenwerkingssystemen een blijvend risico vormen en voortdurende aandacht voor beveiliging vereisen.