Odido massaclaim, Vercel via AI tool en Kentico direct actief misbruikt

Maandag en dinsdag brachten twee tempoverhogingen in het Nederlandse en Belgische dreigingsbeeld. Consumers United in Court startte maandag een collectieve rechtszaak tegen Odido waarin de meldplicht en de bewaartermijn van miljoenen gegevens centraal staan, diezelfde dag dook een dataset met 400.000 Bol.com klantrecords op hackfora op. Dinsdag maakte Vercel openbaar dat een AI-presentatietool op één medewerkersapparaat het startpunt was van een complete Google Workspace overname, losgeldeis twee miljoen dollar via de ShinyHunters-persona. CCB Belgium en CISA KEV zetten tegelijkertijd drie CVE's in het rood waarvan JetBrains TeamCity een EPSS van 92 procent scoort, Kentico Xperience een CVSS van 9.8 kent en PaperCut NG/MF als ransomwarevector bekend staat. Kaspersky analyseerde de voorheen ongedocumenteerde Lotus wiper die medio december 2025 Venezolaanse energie- en nutsbedrijven trof, en de Franse identiteitsdocumenten-instantie ANTS bevestigde een datalek waarbij een dreigingsactor op hackfora claimt tot negentien miljoen records te bezitten. BeyondTrust publiceerde het dertiende Microsoft Vulnerabilities Report waarin de kritieke kwetsbaarheden in 2025 verdubbelden ondanks een daling in totaal aantal. De Noord-Koreaanse actor UNC1069 en Kaspersky's analyse van FakeWallet in de Chinese Apple App Store onderstrepen dat cryptocurrency en Web3 professionals een hoofddoel blijven.

Odido massaclaim, Bol.com op hackfora en ANTS in Frankrijk

Claimorganisatie Consumers United in Court (CUIC) is maandag 20 april een collectieve rechtszaak gestart tegen telecomprovider Odido naar aanleiding van een datalek met miljoenen Nederlandse slachtoffers. De buitgemaakte gegevens omvatten naam, adres, telefoonnummer, bankrekeningnummer en documentnummer van identiteitsbewijzen, en zijn volgens Odido zelf al ingezet voor phishingcampagnes. CUIC verwijt Odido laksheid rondom gegevensbewaring, onvoldoende afscherming van persoonsgegevens en gebrekkige transparantie bij de meldplicht, en stelt dat waarschuwingen van Salesforce zouden zijn genegeerd. Het Openbaar Ministerie, de Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur voeren alle drie parallelle onderzoeken uit. Voor Nederlandse organisaties met grote databases van klantgegevens vormt deze zaak precedent, meldplichtdocumentatie en beveiligingsgeschiedenis moeten aantoonbaar op orde zijn.

Diezelfde maandag bood een nieuwe gebruiker op hackfora een dataset aan van 400.000 klantrecords die volgens de verkoper afkomstig zijn van Bol.com, met klant-ID, volledige naam, e-mailadres, telefoonnummer, geboortedatum, geslacht, nationaliteit, ID-nummer en bezorgadressen. De verkoop verloopt via Telegram of Session met escrow-ondersteuning. Cybercrimeinfo ontdekte de claim via darkweb monitoring en kon de authenticiteit niet onafhankelijk verifiëren, de poster draagt een reputatielabel dat bij nieuwe gebruikers hoort en Bol.com gaf op het moment van de forumpost geen publieke reactie. Bol.com klanten doen er uit voorzorg verstandig aan hun wachtwoord te wijzigen, tweefactor te activeren en waakzaam te zijn voor phishing en smishing die deze gegevens als lok kunnen gebruiken.

Dinsdag 21 april werd bekend dat de Franse overheidsinstantie ANTS (paspoorten, rijbewijzen, identiteitskaarten, verblijfsvergunningen) een datalek heeft bevestigd. Het incident vond plaats op 15 april, mogelijk getroffen gegevens zijn inlog-ID, volledige naam, e-mailadres, geboortedatum, accountidentifier en voor sommigen postadres, geboorteplaats en telefoonnummer. Een dreigingsactor met het pseudoniem 'breach3d' claimt op hackfora tot negentien miljoen records te bezitten, inclusief namen, contactgegevens, geboortedata, huisadressen, accountmetadata, geslacht en burgerlijke staat. CNIL, het Openbaar Ministerie van Parijs en ANSSI zijn betrokken bij de respons. Nederlandse en Belgische burgers met Franse verblijfsvergunning of tweede paspoort moeten hun ANTS-accounts resetten en alert zijn op verdachte berichten die zich voordoen als ANTS.

Vercel via AI-tool, 92 procent zonder zicht en Lovable lekt default publiek

Cloudplatform Vercel bevestigde dinsdag een cyberaanval die volledig is te herleiden tot Context.ai, een AI-tool van een derde partij die door een Vercel-medewerker was geïnstalleerd om presentaties en spreadsheets te maken. Een OAuth-token van die medewerker gaf de aanvaller toegang tot de Google Workspace van Vercel en vervolgens tot environment variables die niet als gevoelig waren gemarkeerd. Mandiant is ingeschakeld en wetshandhavingsinstanties zijn betrokken. Een actor onder de ShinyHunters-persona biedt de gestolen data aan voor twee miljoen dollar op hackfora, Vercel zelf heeft echter geen directe ransomcommunicatie ontvangen. De infectieketen begon volgens Hudson Rock bij een Lumma Stealer-infectie op het apparaat van een Context.ai-medewerker. Vercel CEO Guillermo Rauch omschreef de aanvaller als "zeer geavanceerd, aanzienlijk versneld door AI" en benadrukt dat het verwijderen van projecten of accounts niet volstaat, gecompromitteerde secrets blijven geldig in productiesystemen en moeten actief worden gewijzigd. De inbraak past in een bredere reeks AI-gedreven supply chain aanvallen die Cybercrimeinfo dit jaar herhaaldelijk heeft beschreven.

In dezelfde week publiceerde Cybersecurity Insiders in samenwerking met Saviynt een onderzoek onder 235 CISO's waaruit blijkt dat 71 procent bevestigt dat AI-tools toegang hebben tot bedrijfskritieke systemen zoals Salesforce en SAP, maar slechts 16 procent rapporteert dat die toegang effectief wordt beheerd. 92 procent heeft geen volledig zicht op de AI-identiteiten binnen de eigen omgeving, 86 procent handhaaft geen formele toegangsregels voor deze nieuwe klasse van niet-menselijke identiteiten, 75 procent heeft al niet-goedgekeurde AI-tools binnen de organisatie geïdentificeerd en 95 procent twijfelt aan het vermogen om misbruik te detecteren of in te dammen. Holger Schulze van Cybersecurity Insiders waarschuwt dat organisaties die deze accounts niet kunnen identificeren, hun privileges niet begrijpen en er geen beleid op kunnen afdwingen, geen echte controle hebben over de omgevingen waarin AI-agents opereren. Voor Nederlandse en Belgische CISO's is dit een concrete opdracht, AI-agents behandelen als niet-menselijke identiteiten met eigen accounts, minste privileges, centrale inventarisatie en gedragsmonitoring.

Onderzoeker WeezerOSINT meldde via HackerOne een broken object level authorization kwetsbaarheid in het vibe-coding platform Lovable waardoor broncode, database-inloggegevens, AI-chatgeschiedenis en klantgegevens via een gratis account toegankelijk waren. Met vijf API-calls bleek toegang tot profiel, publieke projecten, broncode en zelfs database credentials mogelijk. Lovable ontkende aanvankelijk dat er sprake was van een datalek en schreef het probleem toe aan onduidelijke documentatie, in een vervolgverklaring erkende het bedrijf dat een API-wijziging in februari 2026 chatberichten van publieke projecten weer leesbaar maakte die eerder waren afgeschermd. De HackerOne-melding bleef 48 dagen onbehandeld omdat het platform dacht dat het om bedoeld gedrag ging. Voor Nederlandse en Belgische MKB-organisaties die AI-vibe-coding platforms inzetten voor klantsystemen is dit een directe waarschuwing, markeer elk project expliciet als privé, beschouw AI-chats als publieke logs totdat het tegendeel is bewezen en voer credentials nooit in prompt-velden in.

Kentico, JetBrains TeamCity en Microsoft Office onder vuur

Het Centrum voor Cybersecurity België publiceerde dinsdag onafhankelijke waarschuwingen voor kritieke kwetsbaarheden in Kentico Xperience en JetBrains TeamCity, beide dezelfde dag toegevoegd aan de Amerikaanse Known Exploited Vulnerabilities catalogus van CISA. CVE-2025-2749 in Kentico Xperience (CVSS 7.2 HIGH volgens NVD) maakt authenticated remote code execution mogelijk via path traversal naar de Staging Sync Server, daarnaast kent Kentico Xperience ook CVE-2025-2746 en CVE-2025-2747 met eveneens CVSS 7.2 voor versies tot en met 13.0.178. WatchTowr Labs publiceerde al technische details wat exploit-ontwikkeling versnelt. CVE-2024-27198 en CVE-2024-27199 in JetBrains TeamCity hebben respectievelijk CVSS 9.8 en 7.3, maken authenticatie-bypass en path traversal mogelijk voor volledige overname van CI/CD-omgevingen en scoren 92 procent EPSS. Organisaties moeten TeamCity updaten naar 2023.11.4 of nieuwer en alle tokens roteren. De CCB-advisories in combinatie met CISA KEV geven NL/BE ontwikkel- en CMS-teams een drievoudig urgentiesignaal, directe patch is geen keuze meer.

BeyondTrust publiceerde dinsdag het dertiende jaarlijkse Microsoft Vulnerabilities Report met een op het eerste gezicht positieve kop, het totaal aantal Microsoft-lekken daalde in 2025 met zes procent naar 1.273. Daaronder schuilt een andere beweging, de kritieke kwetsbaarheden verdubbelden van 78 naar 157. Office-kwetsbaarheden verdrievoudigden naar 157, de kritieke bugs binnen de suite vertienvoudigden en veel exploits gebruiken het previewvenster waarmee code zonder gebruikersinteractie wordt uitgevoerd zodra een bijlage wordt gemarkeerd. Azure en Dynamics 365 toonden een negenvoudige stijging van kritieke lekken van 4 naar 37, met als prominent voorbeeld CVE-2025-55241 in Azure Entra ID waarmee een aanvaller zich kon voordoen als Global Administrator en daarmee de vertrouwensgrenzen van een complete cloudinfrastructuur kon omzeilen. Microsoft Edge liet een daling van 83 procent zien naar 50 kwetsbaarheden. 40 procent van alle Microsoft-CVE's in 2025 betrof privilege escalatie, goed voor 509 lekken. James Maude, Field CTO bij BeyondTrust, vat het samen als "het risico neemt niet af, het concentreert zich en wel rondom privileges". Voor NL/BE Microsoft 365 tenants is de les drieledig, Outlook auto-preview uitzetten op endpoints, privileged access management met just-in-time elevation afdwingen voor alle admin accounts en audit-logs monitoren op Global Administrator role-assumption gebeurtenissen.

Dr. Richard Horne, CEO van het Britse National Cyber Security Centre en onderdeel van inlichtingendienst GCHQ, verklaarde woensdag 22 april tijdens de CYBERUK-conferentie in Glasgow dat cyberbeveiliging een "perfecte storm" tegemoet gaat door de combinatie van frontier AI en toenemende geopolitieke spanningen. Het merendeel van de nationaal belangrijke incidenten komt inmiddels direct of indirect van nationale staten, cyberspace bevindt zich volgens Horne "tussen vrede en oorlog" en Rusland past de lessen die het op het slagveld in Oekraïne leerde ook daarbuiten toe. Frontier AI versnelt de ontdekking en exploitatie van kwetsbaarheden op grote schaal. NCSC publiceerde parallel nieuwe richtlijnen voor cross-domain technologieën die bedrijven moeten helpen data veilig tussen verschillende beveiligingsniveaus te verplaatsen, bedoeld als aanvulling op BIO en ISO 27001 voor kritieke infrastructuur. Voor Nederlandse en Belgische organisaties met AI in productie wordt continuous vulnerability management met geautomatiseerde patch-uitrol de enige structurele verdediging.

Lotus wiper, UNC1069 en FakeWallet, geopolitiek op straat

Kaspersky ontleedde een voorheen ongedocumenteerde destructive malware die midden december 2025 Venezolaanse energie- en nutsbedrijven trof, getypeerd als Lotus wiper. De malware werd geanalyseerd vanuit een upload naar een publiek platform afkomstig uit Venezuela, in dezelfde periode werd staatsoliemaatschappij Petróleos de Venezuela (PDVSA) getroffen door een cyberaanval die leveringssystemen uitschakelde. PDVSA wees de Verenigde Staten aan als verantwoordelijke, er is geen openbaar bewijs dat de PDVSA-systemen specifiek door Lotus zijn gewist. De aanvalsketen begint met batch-scripts OhSyncNow.bat en notesreg.bat die de Windows-service UI0Detect uitschakelen, gebruikers inventariseren, wachtwoorden wijzigen, netwerkinterfaces uitschakelen en gecachede logins wissen. Daarna volgen meerdere cycli van diskpart clean all, robocopy-overschrijvingen en fsutil-vulopdrachten. De Lotus-binary werkt op IOCTL-niveau, wist USN-journaalitems, verwijdert herstelpunten en overschrijft fysieke sectoren meerdere keren. Er zijn geen betalingsinstructies of afpersingsmechanismen gevonden, wat wijst op niet-financiële motivatie. Kaspersky adviseert systeembeheerders te letten op wijzigingen in NETLOGON-shares, manipulatie van UI0Detect, massale accountwijzigingen en onverwacht gebruik van diskpart, robocopy en fsutil. NL/BE kritieke infrastructuur kan deze detectie-indicatoren direct in monitoring opnemen.

De Noord-Koreaanse dreigingsactor UNC1069 voerde een campagne met valse online vergaderingen op nagemaakte Zoom, Google Meet en Microsoft Teams platforms, in sommige gevallen aangevuld met deepfake video van echte executives. De groep deed zich voor als durfkapitaalinvesteerder, bouwde via maandenlange gesprekken en Calendly afspraaklinks vertrouwen op met cryptocurrency- en Web3-professionals en vroeg tijdens de nep-meeting om een extensie, driver of update te installeren die in werkelijkheid malware bleek. Het doel is het exfiltreren van private keys en seed phrases van wallets en browserextensies zoals Metamask, waarna digitale tegoeden binnen minuten naar eigen wallets worden doorgesluisd. Parallel legde Kaspersky 26 kwaadaardige apps bloot die zich via de Chinese Apple App Store voordeden als Metamask, Coinbase, Trust Wallet en OneKey, verzameld onder de codenaam FakeWallet en gekoppeld aan de SparkKitty-operatie. De trojanized apps onderscheppen mnemonic phrases tijdens wallet setup of recovery en sturen deze RSA en Base64 versleuteld naar de aanvaller, voor Ledger cold wallets worden in-app phishing prompts gebruikt. Apple verwijderde alle 26 apps na melding van Kaspersky. Nederlandse en Belgische crypto-professionals en MKB-organisaties die cryptocurrency raken moeten onverwachte investeringsbenaderingen met extreme terughoudendheid behandelen, software nooit installeren naar aanleiding van een meeting en bij twijfel de identiteit van een gesprekspartner verifiëren via een onafhankelijk kanaal.

De Europese Unie legde dinsdag sancties op aan twee pro-Russische organisaties, Euromore (mediakanaal dat Kremlin-narratieven versterkt en sinds kort doorverwijst naar Euroview Media met RT- en Sputnik-content) en Pravfond (een door de Russische staat gefinancierde stichting die pro-Kremlin invloedsnetwerken financiert). De EU heeft nu 69 personen en 19 entiteiten gesanctioneerd voor Russische hybride oorlogvoering sinds de grootschalige invasie van Oekraïne in 2022. Cisco Talos bracht parallel het Year in Review 2025 uit, waarin forse groei van interne phishingcampagnes via vertrouwde gecompromitteerde accounts wordt beschreven plus bewapening van Microsoft 365 Direct Send om interne e-mailadressen te spoofen. Staatsgestuurde actoren uit China en Noord-Korea combineren zero-day exploits met social engineering, met tactieken als "Dear Leader" interviewtesten en valse ontwikkelaaridentiteiten. Een VRT NWS experiment op de Groenplaats in Antwerpen sloot het trendbeeld, AI-stemklonen van bekende artiesten werden ingezet om persoonsgegevens en rijksregisternummers te ontfutselen. Spreek binnen familie en organisatie een gezamenlijk wachtwoord af voor noodgevallen, deze maatregel kost niets maar onderschept precies het type AI-phishing dat VRT op straat demonstreerde.

De belangrijkste punten

- Odido massaclaim: CUIC eist genoegdoening, OM/AP/RDI onderzoeken parallel, precedent voor datalekaansprakelijkheid in Nederland

- Bol.com forumpost: 400.000 NL klantrecords te koop op hackfora, authenticiteit niet bevestigd, wachtwoord + MFA voor zekerheid

- Vercel via Context.ai: AI-tool OAuth-token gaf complete Workspace over, 2M USD op hackfora via ShinyHunters-persona

- CCB + CISA KEV: Kentico, JetBrains TeamCity en PaperCut direct patchen, tokens roteren

- BeyondTrust rapport: kritieke Microsoft kwetsbaarheden verdubbeld, Office preview zero-click, Azure Entra ID Global Admin imitatie

- Lotus wiper: NETLOGON, diskpart, robocopy en fsutil als detectie-indicatoren voor destructive malware

- UNC1069 en FakeWallet: crypto-professionals kwetsbaar voor nep-vergaderingen met deepfake executives en nep-wallets in officiële stores

Lees ook

- S02E47: ChipSoft bevestigt diefstal, Belgische gemeenten onder druk en EU leeftijdsapp gekraakt - Voorgaande aflevering met ChipSoft, Anderlues, Temse en Windows zero days

- ShinyHunters publiceert gestolen Odido data, "dit is jullie schuld" - Oorsprong van het Odido datalek dat nu in rechtszaak uitmondt

- Booking en Basic Fit gelekt, Kamervragen over ChipSoft - Eerdere Kamervragen over softwareleveranciers

Mis geen enkel Cyber Journaal - schrijf je in

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam