S02E58
In de periode van woensdag 13 mei tot en met donderdag 14 mei 2026 publiceerde The Gentlemen ransomwaregroep het Instituut voor de Nederlandse Taal als nieuw slachtoffer op haar darkweb portaal, terwijl op een ondergronds forum werd beweerd dat het Belgische medische platform cabinetmedical.be via een SQL kwetsbaarheid is gecompromitteerd met circa 10.000 patiëntgegevens. De Inspectie Gezondheidszorg en Jeugd maakte op 13 mei bekend dat medisch laboratorium Clinical Diagnostics ten tijde van een cyberaanval niet voldeed aan de wettelijk verplichte NEN 7510 norm voor informatiebeveiliging in de zorg, waarbij de gegevens van 850.000 vrouwen uit het bevolkingsonderzoek baarmoederhalskanker zijn gestolen. Tegelijkertijd heeft de ShinyHunters Canvas zaak een politieke dimensie gekregen, met vragen in de Tweede Kamer aan twee ministers en een oproep van de Amerikaanse Huizencommissie voor Binnenlandse Veiligheid aan Instructure om te getuigen.
The Gentlemen claimt INT en cabinetmedical.be
Op 14 mei 2026 publiceerde The Gentlemen ransomwaregroep op haar darkweb portaal vier nieuwe slachtoffers. Onder de geclaimde organisaties bevindt zich het Instituut voor de Nederlandse Taal uit Nederland. Naast de Nederlandse taalinstelling claimt de groep ook verantwoordelijk te zijn voor aanvallen op Digiprint in Polen, Ponisch Abogados in Mexico en Grupo Alvorada in Brazilië. De omvang van het datalek is op dit moment nog niet publiekelijk bevestigd door het instituut.
De melding volgt de gebruikelijke werkwijze van The Gentlemen, waarbij de groep namen van slachtoffers op haar darkweb site publiceert om druk uit te oefenen voor betaling van losgeld. Het Instituut voor de Nederlandse Taal heeft zijn websites al geruime tijd offline staan na een aanval op 5 mei 2026 en werkt aan herstel via reservekopieën. De Autoriteit Persoonsgegevens was al ingeschakeld voor de formele darkweb claim. De claim op het portaal markeert een nieuwe fase in het incident, waarbij de ransomwaregroep het publiek drukmiddel inzet.
Op een ondergronds forum is op 14 mei 2026 de bewering verschenen dat het Belgische medische platform cabinetmedical.be is gecompromitteerd via een verouderde SQL kwetsbaarheid. De dreigingsactor claimt circa 10.000 gegevenspunten te hebben buitgemaakt, waaronder namen, geboortedatums, e-mailadressen, telefoonnummers en postadressen. Daarnaast worden versleutelde wachtwoorden geclaimd. Het gaat om patiëntgegevens van personen die het platform gebruiken voor medische dienstverlening in de Belgische zorgsector.
De claim is op dit moment niet onafhankelijk geverifieerd en cabinetmedical.be heeft nog geen officiële reactie gegeven. De herkomst en authenticiteit van de beweerde data zijn onbevestigd. Beide incidenten vallen onder de AVG meldplicht vanwege het gevoelige karakter van de verwerkte persoonsgegevens.
Clinical Diagnostics: geen NEN 7510 bij hack 850.000 vrouwen
De Inspectie Gezondheidszorg en Jeugd heeft op 13 mei 2026 bekendgemaakt dat medisch laboratorium Clinical Diagnostics ten tijde van een cyberaanval niet voldeed aan de wettelijk verplichte NEN 7510 norm voor informatiebeveiliging in de zorg. De aanval vond plaats via een gehackt gebruikersaccount dat via een verbinding via remote desktop toegang verkreeg tot een verouderde omgeving van het laboratorium. Voor dit gecompromitteerde account was geen meervoudige authenticatie ingeschakeld. Hoe aanvallers de inloggegevens hebben verkregen, kon Clinical Diagnostics niet achterhalen.
Bij de hack werden de persoonlijke gegevens gestolen van 850.000 vrouwen die deelnamen aan het bevolkingsonderzoek baarmoederhalskanker, naast patiëntgegevens van privéklinieken en huisartsen. Clinical Diagnostics betaalde uiteindelijk losgeld aan de cybercriminelen om publicatie van de gestolen gegevens te voorkomen. De verouderde omgeving was nog niet gemigreerd naar de centrale omgeving, maar bevatte wel actieve en gevoelige patiëntdata.
Een menselijke fout bij het Security Operations Center van de internationale Eurofins organisatie lag aan de basis van het beveiligingsfalen. Het SOC ging onterecht ervan uit dat de verouderde omgeving niet langer actief was, waardoor de monitoring hiervan werd uitgeschakeld en afwijkende patronen in de logboeken onopgemerkt bleven. De IGJ constateert bovendien dat Clinical Diagnostics geen onafhankelijke audit op informatiebeveiliging had uitgevoerd en de risico's bij het verwerken van gegevens niet periodiek in kaart had gebracht.
De inspectie heeft Clinical Diagnostics verzocht op korte termijn aantoonbaar aan de NEN 7510 norm te voldoen. De IGJ kan zelf geen financiële sancties opleggen op basis van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. De Autoriteit Persoonsgegevens kan dat op basis van de AVG wel doen en voert parallel onderzoek.
Canvas zaak bereikt Tweede Kamer en Amerikaans Congres
In de Tweede Kamer zijn op 13 mei 2026 vragen gesteld aan minister Van Weel van Justitie en Veiligheid en minister Letschert van Onderwijs over het datalek bij het onderwijsplatform Canvas van Instructure. D66 Kamerleden El Boujdaini en Rooderkerk willen weten hoeveel Nederlandse studenten, docenten en onderwijsmedewerkers zijn getroffen en welke soorten persoonsgegevens zijn buitgemaakt. De Kamerleden vragen ook welke ondersteuning getroffen personen ontvangen om misbruik van hun persoonsgegevens te voorkomen. De ministers hebben drie weken de tijd om te antwoorden.
Op dezelfde dag riep de Huizencommissie voor Binnenlandse Veiligheid van het Amerikaanse Huis van Afgevaardigden topfunctionarissen van Instructure op om te getuigen over twee inbraken door ShinyHunters binnen één week. Bij de eerste aanval op 29 april werden via een kwetsbaarheid in accounts voor docenten gegevens gestolen van 8.809 onderwijsinstellingen, met 280 miljoen records waaronder namen, e-mailadressen en berichten tussen studenten en docenten. Bij een tweede aanval op 7 mei werden login portals van ongeveer 330 scholen onleesbaar gemaakt met afpersingsberichten, wat tijdens eindexamens tot annuleringen leidde in meerdere Amerikaanse staten.
Instructure maakte op 11 mei 2026 bekend een overeenkomst te hebben bereikt met ShinyHunters. Het bedrijf bevestigde dat de gestolen data is geretourneerd inclusief digitaal bewijs dat kopieën permanent zijn vernietigd. Hoewel Instructure niet bevestigde of er losgeld is betaald, stoppen afpersingsgroepen zelden met dataleks of verwijderen zij gestolen data zonder een vorm van betaling. ShinyHunters gaf aan dat de zaak is opgelost en dat getroffen instellingen niet zelf contact hoeven op te nemen. De Huizencommissie verwacht Instructure uiterlijk 21 mei te spreken.
De belangrijkste punten
- The Gentlemen claimt INT op darkweb op 14 mei: Nederlandse taalinstelling op darkweb portaal gepubliceerd als drukmateriaal voor losgeld, websites al offline na aanval 5 mei, omvang datalek onbevestigd
- cabinetmedical.be: circa 10.000 medische records geclaimd via SQL kwetsbaarheid: Belgisch medisch platform mogelijk gecompromitteerd met patiëntgegevens waaronder namen, geboortedatums, e-mailadressen en versleutelde wachtwoorden, claim niet onafhankelijk geverifieerd
- Clinical Diagnostics betaalde losgeld na diefstal 850.000 vrouwen bevolkingsonderzoek: geen meervoudige authenticatie op verouderde omgeving, SOC schakel monitoring uit na misverstand over status, IGJ constateert dat NEN 7510 norm niet werd nageleefd
- IGJ: Clinical Diagnostics voerde geen onafhankelijke beveiligingsaudit uit: risico bij gegevensverwerking niet periodiek in kaart gebracht, AP voert parallel onderzoek en kan boetes op basis van de AVG opleggen
- D66 Kamerleden El Boujdaini en Rooderkerk stellen vragen aan ministers Van Weel en Letschert: opheldering gevraagd over getroffen Nederlandse studenten en transparantie over gegevensverwerking via onderwijsplatforms
- Instructure sloot deal met ShinyHunters na twee aanvallen binnen één week: data zogenaamd vernietigd via shred logs, betaling niet bevestigd, US Congres roept Instructure op te getuigen uiterlijk 21 mei
Lees ook
- ► S02E57: Odido ShinyHunters aanval, TeamPCP Jenkins en INT offline, achtergrond bij de aanval op het Instituut voor de Nederlandse Taal en de TeamPCP supply chain campagne
- ► S02E55: ShinyHunters Canvas 12 mei, 7 NL universiteiten bevestigd en Animo IBAN, overzicht van de Nederlandse instellingen die door ShinyHunters zijn getroffen bij de Canvas aanval
- ► S02E54: Canvas 44 NL instellingen gelekt, Edge wachtwoorden onveilig, eerste berichtgeving over het Canvas datalek bij Nederlandse onderwijsinstellingen
Wil je dagelijks cyberdreigingen volgen? Schrijf je gratis in voor de Dreigingsradar dagelijkse alert van onze partner Digiweerbaar, met actuele incidenten en kwetsbaarheden uit Nederland en België. Voor CISO's en IT managers is er het betaalde Cyberdreigingsrapport van partner Digiweerbaar met dagelijkse en wekelijkse verdieping.
Bron: Cybercrimeinfo, ondezoeksteam
Categorie 1.0 Slachtoffers in België en Nederland, 2.0 Cyberoorlog en hybride oorlog, 3.0 Kwetsbaarheden in software (CVE’s), 4.0 Dreigingen, 5.0 Opsporingsnieuws en 6.0 Algemeen gerelateerd cyber nieuws.
MEDIA & ANALYSES
🎧 Liever luisteren? (Journaal & Analyse)
Powered by RedCircle
Powered by RedCircle
Kies hieronder waar je wilt luisteren
RSS feed
Gebruik je Pocket Casts, Overcast of een andere app voor podcasts? Kopieer de link hieronder en plak die in je app onder "Voeg podcast toe via URL".