ShinyHunters bij ADT en Udemy, DigiD blijft bij Solvinity en Palantir bij de Marechaussee

Het weekend van 24 tot en met 26 april 2026 leverde drie ontwikkelingen op die de discussie van eerdere weken doortrekken. ShinyHunters publiceerde binnen 24 uur twee grote slachtoffers, ADT en Udemy, beide via vishing tegen een SSO-account. Het kabinet besloot daarnaast om DigiD bij Solvinity te houden, ondanks Kamerverzet en een aangekondigde Amerikaanse overname. En WOO stukken openbaarden dat de Koninklijke Marechaussee jarenlang gebruik maakte van Palantir, terwijl de minister dat in een Kamerantwoord ontkende. Daarnaast staan in Nederland en België 3.793 Zimbra servers ongepatcht, voegde CISA vier actief misbruikte CVE's toe aan de Known Exploited Vulnerabilities catalogus en publiceerde Silverfort een privilege escalation in Microsoft Entra Agent ID die inmiddels is gepatcht.

ShinyHunters in 24 uur, ADT en Udemy

ADT bevestigde donderdag 24 april bij de Amerikaanse beurstoezichthouder SEC een datalek nadat afpersingsgroep ShinyHunters dreigde met publicatie van gestolen data. ADT detecteerde de onbevoegde toegang op 20 april en geeft aan dat de inbraak beperkt bleef tot namen, telefoonnummers en adressen, plus in een klein percentage van de gevallen geboortedata en de laatste vier cijfers van Social Security- of belastingnummers. Geen betaalinformatie. ShinyHunters claimt op de eigen lekpagina meer dan 10 miljoen records, plus interne bedrijfsdata waaronder gegevens van circa 1.500 externe gebruikers en 120 medewerkers. ADT bevestigt dat datavolume niet. Het patroon dat ShinyHunters volgens BleepingComputer hanteert is een vishing-aanval die een Okta SSO-account van een werknemer compromitteert, gevolgd door diefstal uit Salesforce.

Een dag eerder werd Udemy in dezelfde campagne gepakt. ShinyHunters plaatste de online trainingsdienst op het lekplatform met een pay-or-leak waarschuwing en lekte na drie dagen de data toen er niet betaald werd. Het lek bevat 1,4 miljoen unieke e-mailadressen van klanten en instructeurs, plus namen, fysieke adressen, telefoonnummers, werkgeversinformatie en uitbetalingsmethoden van instructeurs (PayPal, cheques, bankoverschrijvingen). De data zijn inmiddels publiek toegankelijk via HaveIBeenPwned. ShinyHunters voegde Udemy toe aan een groeiende lijst van slachtoffers in 2026 die ook Vercel, McGraw-Hill en Harvard omvat.

Voor Nederlandse en Belgische organisaties is dit geen incident maar een industriele campagne. De vector raakt elke organisatie met een SaaS-stack die via SSO is gekoppeld, of dat nu Microsoft Entra, Okta of Google Workspace is. Aanvallers steken niet langer energie in exploitatie op endpoints, ze bellen of berichten via Microsoft Teams onder valse identiteit en vragen toegang tot het SSO-account. Eenmaal binnen pivotteren ze naar Salesforce, Microsoft 365, Google Workspace, SAP, Slack, Adobe, Atlassian, Zendesk en Dropbox. Verplichte terugbelprocedures voor helpdesk-verzoeken voor SSO en gedragsgebaseerde detectie op SaaS-platformen zijn nu minimumvereiste. Pikant detail uit zaterdag, dezelfde week dat ShinyHunters slachtoffers stapelt, lekte rivaal NormalLeVrai de volledige privé Telegram-groep van ShinyHunters op een cybercrimeforum, inclusief schermafbeeldingen en download-link. NormalLeVrai biedt ondertussen een zakelijk mailaccount van Meta aan voor 1.000 dollar.

DigiD blijft bij Solvinity

Het kabinet maakte zaterdag bekend dat het contract voor DigiD met Solvinity met twee jaar wordt verlengd. De ondertekening staat gepland voor begin mei 2026. Dit gebeurt ondanks een meerderheid van de Tweede Kamer die in een motie van GroenLinks-PvdA opriep om het beheer weg te halen na de aangekondigde overname van Solvinity door het Amerikaanse Kyndryl. Staatssecretaris Van der Burg licht toe dat een snelle wisseling de continuiteit en veiligheid van de DigiD-dienstverlening direct in gevaar zou brengen. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties stelt dat het wisselen van leverancier voor een dienst als DigiD een buitengewoon complex en langdurig traject is.

De zorg van de Kamer richt zich op de extraterritoriale reikwijdte van Amerikaanse wetgeving. Bij een Amerikaans moederbedrijf kunnen gevoelige persoonsgegevens van Nederlandse burgers, die via DigiD worden verwerkt, onder omstandigheden onder de CLOUD Act of de US Executive Order 14086 vallen. Voor circa 18 miljoen actieve gebruikers van DigiD gaat het over data-soevereiniteit, niet over een acuut beveiligingsincident. Voor afnemers van Solvinity en vergelijkbare leveranciers met een aangekondigde overname is dit het moment om de exit-clausule in lopende contracten en de scope van de leveranciersketen onder NIS2 art. 21 lid 2 sub d kritisch tegen het licht te houden. Een rapportage van een Functionaris Gegevensbescherming over doorgifte naar derde landen onder AVG art. 44 e.v. is in deze constellatie aan te bevelen.

Palantir bij de Marechaussee, jaren verzweegen

Onderzoeksjournalisten van Follow the Money en publicist Elias Rutten openbaarden zaterdag dat de Koninklijke Marechaussee tussen ongeveer mei 2009 en maart 2015 software van het Amerikaanse data-analyse bedrijf Palantir gebruikte voor screening van miljoenen passagiers. Op 1 januari 2014 ondertekende het ministerie van Justitie en Veiligheid hiervoor een License and Services Agreement met Palantir. De software werd ingezet bij het Targeting Center Borders van het API Centre in Soesterberg, dat Advance Passenger Information uit binnenkomende vluchten van buiten de EU en het Schengengebied verwerkte. De factuur bedroeg 162.527,08 euro inclusief BTW voor drie maanden.

In augustus 2025 antwoordde minister Van Weel op Kamervragen ontkennend op de vraag of zijn ministerie Palantir nog gebruikte. Uit e-mailcorrespondentie van juli 2025 blijkt dat het contract uit 2014 op dat moment al binnen het departement bekend was bij de voorbereiding van het Kamerantwoord. Op 20 april 2026 informeerde Van Weel de Kamer over het WOO besluit, vijf dagen nadat dat besluit was genomen en pas nadat Follow the Money aanvullende vragen stelde. Vlak voor publicatie stelde het ministerie dat de organisatie die het contract met Palantir tekende destijds niet onder de politieke verantwoordelijkheid van de minister van Justitie en Veiligheid viel. Hoogleraar staatsrecht Reijer Passchier kwalificeerde het niet-informeren van de Kamer staatsrechtelijk als "een politieke doodzonde". Een woordvoerder van de Marechaussee verklaarde in maart van dit jaar aanvankelijk dat de KMar Palantir "nooit" had gebruikt, om die uitspraak na confrontatie met de WOO stukken te herroepen.

De screening verwerkte gevoelige persoonsgegevens van miljoenen reizigers, waaronder namen, geboortedatums, nationaliteiten en paspoortnummers, zonder dat dit publiek bekend was. Het ontbreken van transparantie raakt artikel 68 van de Grondwet over de inlichtingenplicht van bewindspersonen. De casus toont opnieuw dat het inkoopgedrag rond Amerikaanse data-analyse-software bij Nederlandse overheidsdiensten gestructureerde parlementaire controle vergt, niet ad hoc Kamervragen die incomplete antwoorden opleveren.

Zimbra, KEV en Microsoft Entra

Shadowserver telt wereldwijd 10.500 Zimbra servers die nog niet gepatcht zijn voor CVE-2025-48700, een XSS-kwetsbaarheid in de Classic UI. Patches zijn beschikbaar sinds juni 2025. CISA voegde de kwetsbaarheid toe aan de Known Exploited Vulnerabilities catalogus met een patchdeadline van 23 april 2026 voor federale Amerikaanse agentschappen. In Europa staan 3.793 ongepatchte servers, waarvan een aanzienlijk aantal in Nederland en België. Eerder zetten APT28 en APT29 vergelijkbare Zimbra XSS-kwetsbaarheden in tegen Oekraine. Voor MKB, hosters en publieke instellingen die nog op Zimbra draaien is patchen of migratie urgent.

CISA voegde diezelfde week vier andere actief misbruikte CVE's toe aan de KEV catalogus. CVE-2024-7399 raakt Samsung MagicINFO 9 Server (CVSS 9.8, EPSS 82,3 procent), CVE-2024-57726 en CVE-2024-57728 raken SimpleHelp v5.5.7 en eerder, en CVE-2025-29635 raakt D-Link DIR-823X. De NCSC NL/BE Top 10 Misbruikt opent met Microsoft Defender (CVE-2026-33825) en SharePoint Server (CVE-2026-32201), gevolgd door twee Fortinet kwetsbaarheden in FortiSandbox. Microsoft rolde op 9 april een fix uit voor een privilege escalation in Microsoft Entra Agent ID, ontdekt door Silverfort. De Agent ID Administrator rol kon vrijwel elke Application Service Principal binnen een tenant overnemen via credential injection. Beheerders wordt aangeraden AuditLogs te controleren op wijzigingen in accounteigendom of nieuwe geheimen op gevoelige Service Principals over de afgelopen weken.

Op het kant van de blockchain veroorzaakte een fout in het MimbleWimble Extension Block protocol van Litecoin op 25 april een terugdraaiing van 13 blokken. Niet-bijgewerkte miningnodes accepteerden ongeldige MWEB-transacties, waardoor coins onterecht naar externe DEX-platformen werden geexporteerd. Het team van Litecoin draaide blokken 3.095.930 tot en met 3.095.943 terug, ongeveer 2,5 tot 3 uur geschiedenis. De classificatie als zero-day wordt door waarnemers betwist, omdat de commit historie van het project laat zien dat de validatiefout al privé was gepatcht tussen 19 en 26 maart, vier weken voor het misbruik. De update was niet publiek uitgerold of verplicht gesteld voor mining pools.

De belangrijkste punten

- ShinyHunters bij ADT en Udemy: binnen 24 uur twee grote slachtoffers, vector vishing op SSO en diefstal uit Salesforce

- DigiD blijft bij Solvinity: kabinet kiest continuïteit boven Kamerverzet, exit-clausules elders nu kritisch toetsen

- Palantir bij de Marechaussee: WOO toont gebruik 2009 tot 2015, minister Van Weel ontkende in 2025 ondanks bekend contract

- 3.793 Zimbra servers ongepatcht in Europa: CVE-2025-48700 op CISA KEV, Nederland en België expliciet genoemd

- CISA KEV golf: Samsung MagicINFO, SimpleHelp x2 en D-Link DIR-823X toegevoegd, federale deadline was 23 april

- Microsoft Entra Agent ID gepatcht: bevinding van Silverfort, AuditLog review op Service eigendom van Service Principals aanbevolen

- Litecoin reorganiseert 13 blokken: validatiefout in MWEB, patch was privé klaar maar niet publiek uitgerold

Lees ook

- S02E49: ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER, vorige aflevering, onderhandeling rond ChipSoft en Cisco ASA persistentie

- S02E48: Odido massaclaim, Vercel via AI tool en Kentico direct actief misbruikt, context bij massaclaims en SaaS-OAuth

- S02E40: Supply chain domino, 280 miljoen dollar DeFi diefstal en AI als cyberwapen, achtergrond bij historie van ShinyHunters en supply chain-aanvallen

Wil je dagelijks cyberdreigingen volgen? Schrijf je gratis in voor de Dreigingsradar dagelijkse alert van onze partner Digiweerbaar, met actuele incidenten en kwetsbaarheden uit Nederland en België. Voor CISO's en IT-managers is er het betaalde Cyberdreigingsrapport van partner Digiweerbaar met dagelijkse en wekelijkse verdieping.

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam