Een cybercrimineel beweert het intranetsite van RTL Group te hebben gehackt en daarbij toegang te hebben gekregen tot persoonsgegevens van meer dan 27.000 medewerkers. De aanval zou gericht zijn geweest op de interne website van het mediabedrijf.

RTL Group is een Europees entertainmentbedrijf dat televisiezenders, radiostations en digitale platforms exploiteert in West- en Centraal-Europa. Het concern is met name actief in Duitsland, Frankrijk, Nederland en België. Voor Nederlandse en Belgische medewerkers van RTL-dochters betekent deze beweerde inbreuk dat ook hun gegevens mogelijk zijn gecompromitteerd.

Volgens de claim zou de gelekte data volledige namen, e-mailadressen, fysieke werkadressen en zowel werk- als privé telefoonnummers bevatten. Dit type informatie kan door kwaadwillenden worden misbruikt voor gerichte phishing-aanvallen, identiteitsfraude of andere vormen van sociale manipulatie gericht op medewerkers van het mediabedrijf.

De aanval richt zich op het intranet, een intern netwerk dat doorgaans alleen toegankelijk is voor medewerkers. Een succesvolle inbreuk op een dergelijk systeem duidt op een aanzienlijke beveiligingsfout of een gerichte aanval waarbij toegangsgegevens zijn buitgemaakt. Het is op dit moment niet bekend of RTL Group de bewering heeft bevestigd of wat de precieze aard en omvang van het mogelijke lek is.

ASML spreekt beweringen over grootschalig datalek formeel tegen

De Nederlandse chipmachinefabrikant ASML heeft op woensdag berichten over een vermeend datalek ontkend. De verklaring volgt op een claim van een dreigingsactor op een hackersforum, waarbij werd gesteld dat er 154 databases met gevoelige bedrijfsinformatie van de multinational uit Veldhoven online waren geplaatst. Volgens ASML is na een grondig intern onderzoek gebleken dat de beweringen ongegrond zijn en dat er geen bedrijfsgegevens in de gepubliceerde bestanden zijn aangetroffen.

De bewuste dreigingsactor publiceerde op 06 januari 2026 een bericht waarin werd beweerd dat de databases onder meer encryptiesleutels voor schijfbeveiliging, gebruikersinformatie en technische apparaatgegevens bevatten. De data werd aangeboden in SQL-formaat. Cybersecurity-onderzoekers die de datasets hebben geanalyseerd, melden echter dat de informatie niet herleidbaar is naar de systemen van ASML en mogelijk afkomstig is van andere, niet-gerelateerde bronnen of is samengesteld om forumstatus te verkrijgen.

Hoewel ASML regelmatig doelwit is van digitale spionagepogingen vanwege de strategische waarde van hun technologie, benadrukt het bedrijf dat de integriteit van de IT-systemen in dit specifieke geval niet is aangetast. Deskundigen waarschuwen dat dergelijke valse claims vaker voorkomen op ondergrondse fora, waarbij actoren proberen hun reputatie te verhogen door gerenommeerde organisaties als slachtoffer te noemen. Er is op dit moment geen bewijs dat er daadwerkelijk intellectueel eigendom of persoonlijke data van medewerkers is ontvreemd.

Dreigingsactor claimt diefstal broncode en Salesforce-data van NordVPN

Een dreigingsactor die opereert onder het pseudoniem 1011 claimt toegang te hebben verkregen tot de ontwikkelingsinfrastructuur van VPN-provider NordVPN. Op een forum op het dark web zijn berichten verschenen waarin de actor beweert gevoelige informatie te hebben buitgemaakt, waaronder broncodes van databases en diverse inloggegevens. De gelekte data zouden afkomstig zijn van een onjuist geconfigureerde ontwikkelserver die in Panama wordt gehost. De claim werd op 4 januari 2026 publiekelijk gedeeld via ondergrondse fora, waarbij bewijsmateriaal werd getoond om de toegang te staven.

De omvang van de vermeende datadiefstal omvat broncodes van meer dan tien databases die deel uitmaken van de kernsystemen van NordVPN. Daarnaast bevat de gelekte informatie Salesforce API-sleutels en Jira-tokens. Deze gegevens bieden in potentie directe toegang tot interne zakelijke applicaties die worden gebruikt voor klantrelatiebeheer en projectmanagement. Om de authenticiteit van de hack aan te tonen, heeft de dreigingsactor SQL-dumpbestanden gepubliceerd. Deze bestanden tonen de structuur van backend-tabellen, waaronder configuraties voor API-sleutels en details over Salesforce-koppelingen.

Uit de analyse van het incident blijkt dat de toegang waarschijnlijk is verkregen via brute-force aanvallen op inloggegevens van de bewuste server in Panama. Dergelijke methoden zijn effectief wanneer systemen geen adequate beperkingen hanteren op het aantal inlogpogingen of wanneer strikte toegangscontroles ontbreken. Beveiligingsonderzoekers wijzen erop dat ontwikkelomgevingen vaker een doelwit vormen omdat de beveiligingsinstellingen daar doorgaans minder streng zijn dan in productieomgevingen.

De blootstelling van broncode brengt specifieke risico's met zich mee, aangezien aanvallers hiermee inzicht krijgen in de architectuur van de systemen die de privacy van miljoenen gebruikers moeten waarborgen. Met de publieke verspreiding van API-sleutels en tokens bestaat bovendien het risico op laterale bewegingen binnen het netwerk en de manipulatie van interne systemen. Er wordt geadviseerd om een volledige audit van de infrastructuur uit te voeren, alle gecompromitteerde inloggegevens te vervangen en de authenticatieprotocollen aan te scherpen met meervoudige verificatie.

Mogelijk datalek bij KPN

Op 1 december 2025 werd melding gemaakt van een mogelijk datalek bij het Nederlandse telecombedrijf KPN N.V. Er zouden gegevens van het bedrijf zijn gecompromitteerd, maar de specifieke details van het incident zijn nog onduidelijk. Er is geen informatie verstrekt over de aard van het lek of de omvang van de blootgestelde data. Het is op dit moment niet bevestigd of de aanval al dan niet te maken heeft met een verkoop van de gestolen gegevens.

KPN heeft nog geen officiële verklaring afgelegd over het incident, en het is onduidelijk of de getroffen data betrekking heeft op persoonlijke klantinformatie of andere bedrijfsgegevens. Gezien de gevoeligheid van de gegevens die telecombedrijven beheren, zoals klantinformatie en communicatiegeschiedenis, zouden de gevolgen van een dergelijk datalek ernstig kunnen zijn. Het bedrijf en de relevante autoriteiten zullen waarschijnlijk nader onderzoek doen naar de toedracht van het incident.

Omdat het incident nog niet officieel bevestigd is, blijven de details voorlopig onduidelijk. Het is belangrijk om deze situatie te blijven volgen voor verdere updates.