S02E28
Het datalek bij Odido bereikt de kern van de Nederlandse vitale infrastructuur, nu blijkt dat duizenden medewerkers van energiebedrijven, vervoerders en veiligheidsdiensten zijn getroffen. Tegelijk onthult Google hoe een geavanceerde exploit kit voor iPhones van overheden naar criminelen is verspreid, en APT36 zet kunstmatige intelligentie in om beveiligingssystemen te overspoelen met malware. Dichter bij huis werd Wikipedia getroffen door een zelfverspreidende worm die in 23 minuten bijna vierduizend pagina's wijzigde. Dit journaal bestrijkt het nieuws van 4 en 5 maart 2026.
Odido bereikt hart van vitale sector
Uit onderzoek van Follow the Money blijkt dat het datalek bij Odido veel verder reikt dan eerder gedacht. De journalisten vergelijkten domeinnamen van vitale bedrijven en overheidsinstellingen met de gelekte dataset en vonden ruim 16.300 zakelijke e-mailadressen. Medewerkers van ProRail, TenneT, Alliander, de politie, Schiphol, ASML, NXP, Philips, Heijmans en het Europees Ruimteagentschap zijn getroffen. Een kwart van hen gebruikte een zakelijk e-mailadres voor een consumentenaccount bij Odido.
ASML liet weten dat het gebruik van zakelijke e-mailadressen voor privéaccounts in strijd is met de Code of Conduct. Scheepsbouwer Damen stelde dat de e-mailadressen afkomstig zijn van medewerkers die privé abonnementen afsloten. In het vorige journaal meldden we dat de politie de versleutelde dataset had ontvangen en via politie.nl de pagina "Check je hack" beschikbaar stelde. Lees ook wat criminelen nu over jou weten als je klant bent of was bij Odido.
Minister Van Weel van Justitie en Veiligheid verklaarde tijdens het vragenuur in de Tweede Kamer dat hij het besluit van Odido steunt om geen losgeld te betalen. D66 stelde dat gegevens van tien miljoen mensen op straat liggen, inclusief interne notities over stalking, huiselijk geweld en schuldhulpverlening. De minister waarschuwde om mensen niet onnodig angst aan te jagen en adviseerde klanten om de tips op politie.nl te raadplegen. De Autoriteit Persoonsgegevens zal onderzoeken of Odido adequaat heeft gehandeld.
Ondertussen nemen de phishing campagnes rond het datalek toe. Odido waarschuwt voor een mail die ontvangers vraagt een "compensatieformulier" in te vullen. RTL Nieuws meldde dat klanten ook telefonisch worden benaderd door criminelen die zich voordoen als de klantenservice. Daarnaast bevestigde verffabrikant AkzoNobel een cyberaanval op een Amerikaanse vestiging door de Anubis ransomwaregroep. De gelekte data omvat vertrouwelijke overeenkomsten, paspoortscans en interne specificaties. Ook het Amsterdamse trustkantoor BK Group werd getroffen door de Akira ransomwaregroep, die wereldwijd meer dan 620 organisaties heeft aangevallen en naar schatting 244 miljoen dollar aan losgeld heeft buitgemaakt.
Exploit kits en AI bewapenen staatshackers
Google's Threat Intelligence Group onthulde de Coruna exploit kit, een modulair aanvalskader met 23 exploits verdeeld over vijf volledige exploit chains. De kit kan iPhones met iOS 13.0 tot en met 17.2.1 compromitteren zonder enige interactie van de gebruiker. De naam werd ontdekt toen een aanvaller per ongeluk een debugversie inzette. De meest geavanceerde componenten maken gebruik van niet openbare exploitatietechnieken, kenmerkend voor tooling op staatsniveau.
In 2025 bewoog de Coruna kit door drie verschillende ecosystemen. Eerst werd de kit ingezet door een klant van een niet nader genoemde spywareverkoper. Vervolgens gebruikte een vermoedelijk Russische spionagegroep de kit tegen Oekraïense websites, waarbij tientallen sites in de industriële en detailhandelsector werden gecompromitteerd via een verborgen iFrame. Eind 2025 dook dezelfde kit op bij een financieel gemotiveerde groep uit China, die valse cryptowebsites gebruikte om iPhone gebruikers te lokken. De payload richtte zich op achttien wallet applicaties en kon Apple Notes scannen op zoektermen als "backup phrase" en "bankrekening". Google's belangrijkste advies is om iPhones direct bij te werken naar de nieuwste versie en Lockdown Mode in te schakelen. De kit stopt actief wanneer Lockdown Mode wordt gedetecteerd.
In een gerelateerd rapport meldde Google dat er in 2025 negentig zero-day kwetsbaarheden actief werden misbruikt, een stijging van vijftien procent ten opzichte van 2024. Voor het eerst waren commerciële spywareverkopers de grootste gebruikers van ongedocumenteerde kwetsbaarheden, nog voor staatshackers. Microsoft was het meest getroffen bedrijf met 25 zero days, gevolgd door Google zelf met elf. Chinese spionagegroepen bleven het meest actief met tien zero days, gericht op netwerkapparatuur voor langdurige toegang.
De Pakistaanse groep APT36 koos een andere aanpak. Volgens Bitdefender overspoelt APT36 Indiase overheidsnetwerken met malware die is gegenereerd door kunstmatige intelligentie. De onderzoekers noemen deze strategie "Vibeware", een golf van middelmatige code in niche programmeertalen als Nim, Zig en Crystal, ontworpen om beveiligingssystemen te overweldigen door volume. In een geval vergaten de hackers het webadres toe te voegen waarnaar gestolen data moest worden verzonden. Toch zijn sommige tools intrusief, een component genaamd LuminousCookies probeert de versleuteling van opgeslagen wachtwoorden in Chrome en Edge te omzeilen. Bitdefender noemt dit een "Distributed Denial of Detection", waarbij het doel is de verdedigers simpelweg uit te putten.
Wikipedia, browsers en de illusie van MFA
De Wikimedia Foundation ondervond een opvallend beveiligingsincident nadat een zelfverspreidende JavaScript worm gebruikersscripts begon te wijzigen en pagina's te vernielen. Het kwaadaardige script was oorspronkelijk in maart 2024 geüpload op de Russische Wikipedia en werd vermoedelijk geactiveerd door een medewerkeraccount tijdens het testen van functionaliteit. In slechts 23 minuten werden ongeveer 3.996 pagina's gewijzigd en 85 gebruikersscripts vervangen.
De worm werkte door kwaadaardige JavaScript laders te injecteren in zowel de persoonlijke common.js van ingelogde gebruikers als Wikipedia's globale MediaWiki:Common.js. Zodra het globale script was gewijzigd, werd de lader automatisch uitgevoerd voor elke editor die het script gebruikte, die vervolgens dezelfde stappen herhaalde. Het script bevatte ook functionaliteit om willekeurige pagina's te bewerken via het Special:Random commando. De Wikimedia Foundation meldde dat de code slechts 23 minuten actief was. Wikimedia engineers beperkten tijdelijk het bewerken en draaiden alle wijzigingen terug.
Op een ander front ontdekten onderzoekers van Zenity Labs een kritieke kwetsbaarheid in de Comet browser van Perplexity. Via een vergiftigde Google Calendar uitnodiging kan de AI agent van de browser worden misleid om lokale bestanden te lezen en inloggegevens te stelen. De aanval vereist geen klik van de gebruiker. Onder de zichtbare vergaderdetails verbergt de uitnodiging grote blokken witruimte met valse instructies die de interne beveiligingsmaatregelen van de browser omzeilen. Als de gebruiker een ontgrendelde wachtwoordmanager heeft, kan de agent de volledige kluis doorzoeken. Dit is de zesde grote kwetsbaarheid in Comet sinds de lancering in juli 2025.
Uit het "2026 State of Browser Security Report" van Keep Aware blijkt dat 46 procent van de gevoelige data-invoer in webapplicaties naar persoonlijke accounts wordt gestuurd. Werknemers plakken interne documenten, broncode en financiële informatie in AI systemen, buiten het zicht van traditionele beveiligingsmaatregelen. Tegelijk waarschuwt een analyse dat MFA in Windows omgevingen lang niet alle authenticatiepaden afdekt. Zeven routes, waaronder directe RDP toegang, NTLM authenticatie, Kerberos tickets en serviceaccounts, worden vaak niet door MFA beschermd. Aanvallers compromitteren dagelijks netwerken met geldige inloggegevens via deze onbeschermde paden.
De belangrijkste punten
- Odido raakt vitaal: 16.300 zakelijke e-mailadressen van ProRail, TenneT, politie, Schiphol en ASML gevonden in gelekte dataset
- Coruna exploit kit: geavanceerde iPhone aanvalstool verspreidde zich van spywareverkoper naar Russische spionnen en Chinese criminelen
- 90 zero days in 2025: commerciële spywareverkopers voor het eerst de grootste gebruikers van ongedocumenteerde kwetsbaarheden
- APT36 "Vibeware": Pakistaanse hackers overspoelen Indiase overheid met door AI gegenereerde malware
- Wikipedia worm: zelfverspreidend script wijzigde 3.996 pagina's en 85 gebruikersscripts in 23 minuten
- MFA niet waterdicht: zeven Windows authenticatiepaden worden standaard niet door MFA afgedekt
Lees ook
- S02E27: AI bot hackt GitHub, Nederland grijpt in en cyberoorlog Iran - Odido "Check je hack" en de eerste Kamerdebatmoties over digitale veiligheid
- S02E26: Odido finale, 6,1 miljoen op straat en overheid kwetsbaar - De volledige dataset verschijnt op het darkweb
- Dataverrijking: waarom het Odido lek gevaarlijker is dan je denkt - Hoe criminelen gestolen data combineren tot complete profielen
- Akira ransomware breekt MFA beveiliging van SonicWall VPN - Dezelfde Akira groep die nu BK Group trof
- APT41 en het misbruik van Google Calendar - Eerder misbruik van Google diensten door Chinese hackers
Mis geen enkel Cyber Journaal - schrijf je in voor het journaal of de wekelijkse nieuwsbrief
Volg het Cyber Journaal ook op YouTube | Spotify | LinkedIn
Bron: Cybercrimeinfo, ondezoeksteam
Klik door naar al het nieuws in categorie 1.0 Slachtoffers in België en Nederland, 2.0 Cyberoorlog en hybride oorlog, 3.0 Kwetsbaarheden in software (CVE’s), 4.0 Dreigingen, 5.0 Opsporingsnieuws en 6.0 Algemeen gerelateerd cyber nieuws.