Booking en Basic-Fit gelekt, Kamervragen over ChipSoft

Twee grote datalekken raken deze week rechtstreeks honderdduizenden Nederlandse consumenten. Booking.com bevestigde dat onbevoegden boekingsdetails, namen, adressen en telefoonnummers hebben ingezien, en Basic-Fit meldde dat persoonsgegevens van ongeveer 200.000 Nederlandse leden mogelijk zijn buitgemaakt. In Den Haag stelden D66 en GroenLinks-PvdA Kamervragen over de hack bij ChipSoft en de afhankelijkheid van een enkele dominante leverancier in de zorg. Ondertussen ontdekte beveiligingsbedrijf Socket meer dan honderd malafide extensies in de Chrome Web Store die Google OAuth tokens stelen, en verdween er via de Apple App Store in enkele dagen 9,5 miljoen dollar aan cryptocurrency na een valse Ledger Live app. Microsoft bracht in de patchronde van april fixes uit voor 165 kwetsbaarheden, en Anthropic liet zien dat een nieuw taalmodel zelfstandig kritieke kwetsbaarheden in besturingssystemen en browsers kan vinden.

Booking, Basic-Fit en DJI lekken samen miljoenen records

Booking.com heeft op 14 april bevestigd dat een derde partij toegang heeft gekregen tot een deel van de reserveringsgegevens. Het bedrijf ontdekte verdachte activiteiten, beperkte de toegang en stelde de pincodes van boekingen opnieuw in. Volgens de communicatie van Booking.com kunnen namen, e-mailadressen, telefoonnummers, postadressen en reserveringsdetails zijn ingezien, betaalgegevens zouden buiten schot zijn gebleven. Hoeveel gebruikers precies zijn getroffen wordt niet gemeld, maar alleen al de mobiele app telde in 2024 meer dan 100 miljoen gebruikers. Met deze data kunnen aanvallers zeer geloofwaardige phishing, smishing en vishing opzetten, een mail over een bestaand hotelverblijf is moeilijker te weigeren dan een willekeurig bericht.

Fitnessketen Basic-Fit waarschuwde op 13 april voor een beveiligingsincident waarbij persoonsgegevens van naar schatting 200.000 Nederlandse leden mogelijk in verkeerde handen zijn gekomen. Ook leden in andere landen, waaronder België, zijn getroffen. Het gaat om namen, adressen, e-mailadressen, telefoonnummers, geboortedata en bankgegevens. Wachtwoorden en identiteitsdocumenten zijn volgens Basic-Fit niet gestolen. Het bedrijf stopte de ongeautoriseerde toegang binnen enkele minuten zelf en heeft alle getroffen leden gecontacteerd. Leden krijgen het advies extra alert te zijn op gepersonaliseerde phishing via mail, sms, WhatsApp of telefoon, en niet op links in verdachte berichten te klikken.

Een derde Nederlands dossier blijft onrustig. Het onderzoek naar de hack via Ivanti bij de Dienst Justitiële Inrichtingen (DJI) is nog niet afgerond. Staatssecretaris Van Bruggen meldde op Kamervragen van de PVV dat de precieze omvang van de onbevoegde toegang tot de Ivanti EPMM servers nog wordt onderzocht. DJI heeft alle medewerkers een handelingskader meegegeven, omdat de aard van hun werk het risico op chantage en afpersing verhoogt wanneer gegevens als namen, mailadressen en locaties bij derden terechtkomen.

Kamervragen zetten ChipSoft en inlichtingendiensten onder druk

De ransomware aanval bij softwareleverancier ChipSoft leidt nu ook tot politieke vragen. D66 stelde begin april als eerste Kamervragen, GroenLinks-PvdA volgde een dag later, beide over de afhankelijkheid van een beperkt aantal ict partijen in de zorg. ChipSoft levert EPD systemen aan naar schatting 70 procent van de Nederlandse ziekenhuizen. De Kamerleden Bushoff en Kathmann willen weten welke alternatieven ziekenhuizen hebben, of het kabinet de risico's erkent wanneer één marktpartij de infrastructuur levert voor een essentiële publieke voorziening, en welke maatregelen worden genomen om diversificatie af te dwingen. Minister Sterk en staatssecretaris Aerdts hebben drie weken de tijd om te reageren. Vorige week meldde het LUMC al dat de invoering van een nieuw elektronisch patiëntendossier op dringend advies van ChipSoft is uitgesteld.

Een stuk noordelijker erkent de gemeente Schiermonnikoog fouten bij het datalek dat volgde op de ransomware aanval op afvalbedrijf Omrin vorig jaar. De evaluatie wijst op drie fouten, het aanleveren van data met overbodige persoonsgegevens, het doorsturen zonder controle en het opslaan bij een andere partij. Een bestand met burgerservicenummers van alle inwoners werd gestolen en op internet gepubliceerd. De gemeente kondigt onder meer een privacybeleid, een informatiebeheerplan, DPIA's en verwerkersovereenkomsten aan, en erkent dat er tot nu toe geen integraal vastgesteld privacybeleid was.

Ook de inlichtingendiensten liggen onder het vergrootglas. De Toetsingscommissie Inzet Bevoegdheden (TIB) stelt in haar jaarverslag dat AIVD en MIVD op onderdelen te ver gaan. In 2025 behandelde de commissie 4.615 verzoeken, waarvan 96 procent rechtmatig was, maar in 1,3 procent van de gevallen bleef de inzet ook na aanpassingen onrechtmatig, iedere week gemiddeld één verzoek. De TIB signaleert zorgen over ongericht intercepteren van glasvezelverkeer en over het hacken van systemen waarbij enorme hoeveelheden data van buitenstaanders worden verwerkt. Dat schuurt met grondrechten en levert volgens de commissie niet altijd de opbrengst die een dergelijke inbreuk rechtvaardigt.

App stores als Trojaans paard, van Chrome extensies tot valse Ledger Live

Beveiligingsbedrijf Socket ontdekte meer dan honderd malafide extensies in de officiële Chrome Web Store die samen onderdeel zijn van één gecoördineerde operatie. De grootste cluster van 78 extensies injecteert door de aanvaller gecontroleerde HTML in de interface via innerHTML. Een tweede groep van 54 gebruikt chrome.identity.getAuthToken om e-mailadres, naam, profielfoto, Google account ID en het Google OAuth2 Bearer token buit te maken. Een derde batch van 45 extensies bevat een verborgen backdoor die commando's ophaalt bij een command and control server zonder dat de gebruiker iets hoeft te doen. Eén extensie steelt elke 15 seconden Telegram Web sessies en kan het Telegram account van een slachtoffer zelfs stilzwijgend omwisselen naar een ander. Socket wees op een Russische malware as a service operatie op basis van opmerkingen in de code, en BleepingComputer bevestigde dat veel van de extensies op het moment van publicatie nog gewoon in de Chrome Web Store stonden.

In de Apple App Store verscheen ondertussen een valse versie van de Ledger Live macOS app, ingediend onder de naam Leva Heal Limited. Blockchain onderzoeker ZachXBT traceerde in enkele dagen 9,5 miljoen dollar aan gestolen cryptocurrency bij ongeveer 50 slachtoffers, waaronder drie met een verlies van meer dan een miljoen dollar. De app vroeg gebruikers om hun seed phrase in te voeren, waarna aanvallers de wallets konden leegtrekken naar adressen op Bitcoin, Ethereum, Tron, Solana en Ripple. Het witwassen liep via meer dan 150 deposit adressen op KuCoin, gelinkt aan een gecentraliseerde mixing service met de naam AudiA6. Apple heeft de app inmiddels verwijderd, KuCoin heeft de betrokken accounts bevroren tot in ieder geval 20 april. Ledger biedt op macOS alleen een app via zijn eigen website aan, in de Apple App Store staat uitsluitend de versie voor iOS.

Dat vertrouwde stores en pakketten de zwakke schakel blijven, laat ook OpenAI zien. Het bedrijf trekt zijn macOS codeondertekeningscertificaten in, nadat een GitHub Actions workflow op 31 maart een gecompromitteerd Axios pakket uitvoerde en daarmee toegang kreeg tot de certificaten waarmee onder meer ChatGPT Desktop, Codex, Codex CLI en Atlas worden ondertekend. OpenAI heeft geen bewijs gevonden dat het certificaat daadwerkelijk is misbruikt, maar trekt het per 8 mei definitief in, waarna oudere versies niet meer zullen starten. De supply chain aanval via Axios wordt in verband gebracht met Noord-Koreaanse dreigingsactoren die een beheerder via een valse webconferentie besmetten.

Patch Tuesday, Adobe noodpatch en AI als wapen en verdediger

De patchronde van Microsoft van april 2026 dicht 165 kwetsbaarheden, waarvan acht als kritiek zijn gemerkt. Onder de zwaarste zitten CVE-2026-33824 in de Windows IKE extensie, CVE-2026-33827 in de Windows TCP/IP stack en CVE-2026-33826 in Active Directory, alle drie maken remote code execution mogelijk. SharePoint kwetsbaarheid CVE-2026-32201 wordt al actief misbruikt en is door CISA aan de KEV catalogus toegevoegd, samen met een zeventien jaar oude Office bug uit 2009. Naast de Windows fixes verholp SAP een SQL injectie lek in Business Planning and Consolidation en Business Warehouse met een CVSS score van 9,9 (CVE-2026-27681). Het Belgische CCB waarschuwt voor een kritieke remote code execution in Talend JobServer en Runtime (CVE-2026-6264, CVSS 9,8), en voor actief misbruik van een bekende kwetsbaarheid in documentatieplatform ShowDoc.

Het Nationaal Cyber Security Centrum kwam apart in actie voor de Adobe Acrobat kwetsbaarheid uit de vorige editie. Het NCSC ziet grootschalig misbruik van CVE-2026-34621, het prototype pollution lek waarvoor Adobe op zaterdag 11 april buiten de patchcyclus om een noodpatch uitbracht. Onderzoeker Haifei Li ontdekte de bug via een eigen detectiesysteem voor exploits en volgens hem vinden er al aanvallen plaats sinds eind november vorig jaar. Kort na het uitkomen van de update verscheen er proof of concept exploit code online, wat de kans op brede misbruikgolven vergroot. De CVE staat ook in de nieuwste KEV catalogus.

Aan de andere kant van de lijn claimt Anthropic dat zijn nieuwe model Claude Mythos Preview zelfstandig kritieke kwetsbaarheden vindt in complexe software. Het model zou duizenden kwetsbaarheden hebben blootgelegd in onder meer alle grote besturingssystemen en browsers, waaronder een 27 jaar oude bug in OpenBSD, en kunnen ook exploits ontwikkelen, bijvoorbeeld voor privilege escalation in de Linux kernel. Het model is niet publiek beschikbaar, maar wordt gedeeld met partijen als Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA en Palo Alto Networks. Anthropic benadrukt dat de capaciteit niet speciaal is getraind, maar een bijproduct is van algemene vooruitgang in redeneren en code, met als consequentie dat dezelfde vaardigheden waarmee kwetsbaarheden worden gepatcht ook misbruik mogelijk maken.

De menselijke kant blijft even belangrijk. Crypto exchange Kraken maakte bekend dat een criminele groep het bedrijf probeert af te persen met video's waarop interne klant support systemen te zien zijn, opgenomen nadat twee supportmedewerkers waren omgekocht om ongeautoriseerde toegang te geven. Volgens Chief Security Officer Nick Percoco zijn de kerninfrastructuur en klantgelden niet geraakt, gaat het om gegevens van ongeveer 2.000 accounts, en betaalt Kraken niets. De zaak ligt bij meerdere wetshandhavers. Bij onderwijsuitgever McGraw Hill verloopt een afpersing via een andere route, ShinyHunters claimt 45 miljoen Salesforce records met persoonsgegevens in handen te hebben, McGraw Hill spreekt van een misconfiguratie in Salesforce en zegt dat geen financiële of studentgegevens zijn blootgesteld.

De belangrijkste punten

- Booking.com bevestigt datalek: namen, mailadressen, telefoonnummers en adressen van klanten ingezien

- Basic-Fit: ongeveer 200.000 Nederlandse leden getroffen, bankgegevens mogelijk buitgemaakt

- Kamervragen ChipSoft: D66 en GroenLinks-PvdA vragen om aanpak marktdominantie in zorgsoftware

- Meer dan 100 Chrome extensies kwaadaardig: OAuth token diefstal, Telegram sessie hijack en backdoor

- Valse Ledger Live app in App Store: 9,5 miljoen dollar aan crypto gestolen van circa 50 slachtoffers

- Patch Tuesday april 2026: 165 Microsoft lekken, SAP 9,9 en Talend 9,8, Adobe actief misbruikt

Lees ook

- Supply chain aanvallen, Marimo binnen tien uur gehackt en FBI leest gewiste Signal berichten - Het vorige journaal met de initiële ChipSoft update en Axios supply chain context

- AP gehackt via Ivanti, meldkamers uit en Chinese spionage onthuld - Achtergrond bij de aanhoudende Ivanti problematiek in Nederland

- ShinyHunters eist miljoenen, AI breekt door in 27 seconden - Eerder optreden van ShinyHunters en opkomst van AI in aanvallen

- PromptSpy, Cepezed gehackt en 90 ransomware via firewalls - Context bij actuele ransomware trends en datalekken via leveranciers

Mis geen enkel Cyber Journaal - schrijf je in

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam