Datalek hotelsector, Windows NETLOGON actief misbruikt

In deze aflevering van het Cyber Journaal staan de dagen van dinsdag 2 en woensdag 3 juni centraal. Koninklijke Horeca Nederland waarschuwt voor een breed datalek in de hotelsector, waarbij gestolen reserveringsgegevens gasten bereiken via geloofwaardige phishing. In Den Bosch onderzoekt de overheid een mogelijk datalek bij de gevangenis van Vught dat niet door een hack ontstond, maar door een overgeslagen procedure. Tegelijk staat de toeleverketen van software opnieuw onder druk, worden twee kritieke lekken in Windows en Android actief misbruikt, en zien we beweging in opsporing, hacktivisme en spionage. We lopen het thema voor thema langs.

Datalekken en fraude raken Nederland en België breed

Het grootste nieuws van deze week komt uit de Nederlandse hotelsector. Koninklijke Horeca Nederland waarschuwt hotels voor een omvangrijk datalek waarbij aanvallers zijn binnengedrongen in boekingssystemen die door een groot aantal hotels worden gedeeld. Daarbij zijn reserveringsgegevens van gasten buitgemaakt. De organisatie ontving talloze meldingen van gasten die kort daarna phishingberichten kregen. Het venijn zit in de details, want de criminelen weten in welk hotel iemand heeft geboekt, voor welke datum en onder welke naam. Daarmee sturen zij geen algemene spam, maar een bericht dat naadloos aansluit op een reservering die echt is gemaakt. Eén inbraak bij een gedeelde leverancier raakt zo tientallen hotels en hun gasten tegelijk.

Een heel ander soort datalek speelt bij de gevangenis van Vught. De staatssecretaris van Justitie en Veiligheid meldde de Tweede Kamer dat een gedetineerde op een uitgereikte laptop mogelijk het strafdossier van een ander kon inzien. De laptop is bedoeld voor inzage in het eigen dossier, maar de verplichte schoning na gebruik werd vermoedelijk niet uitgevoerd. Dit was geen hack, maar een routinehandeling die werd overgeslagen. Omdat een van de betrokkenen een verhoogde risicostatus heeft, weegt het incident zwaar. Bij bevestiging volgt een melding bij de Autoriteit Persoonsgegevens. Het toont dat een datalek niet altijd het werk van een aanvaller is, maar net zo goed een proces dat niet wordt gevolgd.

Ook fraude raakte burgers in beide landen. De Fraudehelpdesk waarschuwt voor een golf gepersonaliseerde smsberichten die de volledige naam van de ontvanger noemen en een onbetaalde schuld claimen, met dreiging van een deurwaarder. De link leidt naar een nepwebsite met een chatvenster in de stijl van de Belastingdienst. In België circuleren phishingberichten die de naam van de Christelijke Mutualiteit misbruiken en vragen om accountgegevens te bevestigen voor een zogenaamde administratieve controle. Safeonweb adviseert om niet op links te klikken en verdachte berichten door te sturen naar het meldpunt.

Voor gedupeerden van phishing was er bemoedigend nieuws uit Antwerpen. De kortgedingrechter veroordeelde een bank tot onmiddellijke terugbetaling van bijna 50.000 euro aan een bejaard echtpaar dat slachtoffer werd van een valse bankmedewerker. Volgens het officiële persbericht van de rechtbank moet een bank een slachtoffer van phishing terugbetalen, tenzij zij een grove fout van de klant kan bewijzen. Het gaat om een uitspraak in kort geding, dus een definitief oordeel ten gronde moet het principe nog bevestigen. Toch noemen betrokken advocaten de uitspraak mogelijk richtinggevend voor de aansprakelijkheid van banken bij online fraude. Aan de andere kant van de oceaan passeerde Have I Been Pwned een mijlpaal met het duizendste geregistreerde datalek. De databank bevat nu ruim 17 miljard gecompromitteerde accounts. Oprichter Troy Hunt waarschuwt dat bedrijven slachtoffers steeds later informeren.

De toeleverketen en AI blijven onder vuur

De rode draad door beide dagen is de toeleverketen van software. Aanvallers gebruikten een gecompromitteerd account bij GitHub om inloggegevenstelende malware te verspreiden via de npm pakketten van Red Hat. Volgens onderzoek van Wiz en StepSecurity zijn 32 pakketten getroffen, samen goed voor meer dan 100.000 downloads per week. De malware, door onderzoekers Miasma genoemd, is afgeleid van de zelfverspreidende worm Mini Shai-Hulud, waarvan de broncode op 12 mei openbaar werd gemaakt door de groep TeamPCP. De worm verzamelt breed inloggegevens uit cloudomgevingen, ontwikkeltools en de pijplijn. Omdat de code nu openbaar is, leidt het al tot kopieergedrag door andere aanvallers, wat een definitieve toeschrijving bemoeilijkt. Een gestolen token dat niet verloopt geeft langdurige en stille toegang, en kan besmette software doorleveren aan klanten.

De aanvallers richten zich ook op de browser en op vertrouwde AI tools. Criminelen verspreiden via advertenties valse versies van ChatGPT en Claude die wachtwoordstelende malware installeren, op de Mac herkend als Odyssey Stealer. Diezelfde campagne misbruikt dat AI tools het uitvoeren van terminalcommando's hebben genormaliseerd, om gebruikers kwaadaardige commando's te laten plakken. Onderzoekers van Unit 42 zagen daarnaast een advertentiecampagne die de nieuwe FlutterShell backdoor voor gebruikers van macOS verspreidt via honderden geverifieerde advertenties bij Google. De actor DriveSurge kaapte intussen duizenden legitieme websites en leidt bezoekers via een verkeersverdeelsysteem naar valse browserupdates en plak instructies van het type ClickFix.

Ook bestaande software bleek kwetsbaar. In de open source conferentiesoftware pretalx maakte een kwetsbaarheid (CVE-2026-41241, CVSS 8.7) het mogelijk om met een geüpload bestand de sessie van een organisator over te nemen zonder dat die ergens op klikt. De fout is verholpen in de nieuwste versie. In de MCP Toolbox van Google maakt een te ruime instelling (CVE-2026-9739) het mogelijk dat de browser van een slachtoffer via een omweg toegang krijgt tot interne databaseconnectoren. En de zwakte van AI bleef niet beperkt tot software van derden. Een nieuwe exploit misleidt de chatbot van Meta op Instagram met verborgen tekens om beheerdersacties uit te voeren en waardevolle gebruikersnamen over te nemen, een vervolg op de eerder gemelde zwakte in dezelfde chatbot. Het Nederlandse kabinet riep deze week op tot terughoudendheid bij het operationeel inzetten van een model van buiten Europa zoals Mythos voor het opsporen van kwetsbaarheden, vanwege risico's voor datasoevereiniteit en afhankelijkheid.

Kritieke kwetsbaarheden actief misbruikt

Twee kwetsbaarheden vragen onmiddellijke aandacht omdat zij actief worden misbruikt. Microsoft verhielp een ernstig lek in NETLOGON (CVE-2026-41089, CVSS 9.8), de dienst die authenticatie binnen een Windows domein regelt. Het Nationaal Cyber Security Centrum en de Belgische tegenhanger CCB waarschuwen dat het lek door diverse partijen wordt misbruikt. Een ongeauthenticeerde aanvaller kan op afstand willekeurige code uitvoeren op een domeincontroller, wat in de praktijk neerkomt op de hoogste rechten in een netwerk. Domeincontrollers die vanaf externe netwerken bereikbaar zijn lopen een hoog risico. Het advies is helder, patch alle controllers in hetzelfde onderhoudsvenster en maak ze niet publiek bereikbaar.

Ook Google waarschuwde voor een actief misbruikt lek, ditmaal in het Android Framework (CVE-2025-48595, CVSS 8.4). Het betreft een integer overflow waarmee een aanvaller die al toegang heeft tot een toestel zijn rechten kan verhogen. Google spreekt van beperkt en gericht misbruik, een formulering die vaak wijst op commerciële spionagesoftware of statelijke actoren die zich richten op specifieke personen. De patch maakt deel uit van de Android update van juni, die in totaal 124 kwetsbaarheden verhelpt. Een groot deel van de toestellen ontvangt echter geen updates meer, wat het risico voor die gebruikers vergroot.

Daarnaast verschenen twee kritieke lekken zonder bevestigd misbruik. In de populaire WordPress plug-in Kirki, actief op meer dan een half miljoen sites, laat een logicafout in de wachtwoordreset een aanvaller het beheerdersaccount overnemen. De ontwikkelaars brachten op 18 mei een update uit, maar veel beheerders hebben die nog niet geïnstalleerd. In bewakingscamera's van het merk KMW (CVE-2026-5386, CVSS 9.1) kan een aanvaller zonder de juiste validatie het wachtwoord wijzigen en zo de controle over de camera overnemen. Het advies is om deze apparaten achter een firewall te plaatsen en de firmware bij te werken.

Opsporing, hacktivisme en spionage

Op het gebied van opsporing was er een resultaat in Spanje. De Spaanse Nationale Politie meldt dat zij een verdachte heeft aangehouden die gevoelige gegevens lekte van medewerkers van onder meer het nationale cybersecurityinstituut, het Openbaar Ministerie en de Guardia Civil. De gegevens werden eerder verspreid via een crimineel forum onder de naam van een doxinggroep. Het onderzoek naar mogelijke medeplegers loopt nog.

Hacktivisme blijft een terugkerend verschijnsel rond Nederlandse doelen. De groep Elite Squad claimt aanvallen die websites onbereikbaar maken op zeven Nederlandse universiteiten, waaronder die van Amsterdam, Leiden en Groningen. De groep NoName claimt soortgelijke aanvallen op VDL Bus en Coach en VDL Group. Beide reeksen claims zijn niet onafhankelijk bevestigd en de operationele status van de getroffen sites is onbekend. Daarnaast claimt de ransomwaregroep STORMOUS een aanval op een Nederlandse religieuze instelling en dreigt gestolen data te publiceren, ook deze claim is vooralsnog niet bevestigd.

Tot slot een opvallende beschuldiging uit Rusland. De binnenlandse veiligheidsdienst FSB stelt een grootschalige spionageoperatie te hebben ontdekt waarbij kwaadaardige software op de mobiele apparaten van hoge functionarissen zou zijn geïnstalleerd. De dienst beschuldigt buitenlandse inlichtingendiensten ervan de infrastructuur van grote internationale technologiebedrijven te hebben gebruikt om communicatie te onderscheppen. De FSB maakte geen naam van de gebruikte software bekend en leverde geen technisch bewijs voor de claims. De beschuldigingen doen denken aan een eerdere claim van de dienst uit 2023.

*Bronnen: Koninklijke Horeca Nederland, NOS, Tweede Kamer, Fraudehelpdesk, Safeonweb, officieel persbericht van de rechtbank in Antwerpen via VRT, Have I Been Pwned, Wiz Research, StepSecurity en JFrog, Unit 42 van Palo Alto Networks, Push Security, Novee Security, NCSC, CCB, Microsoft, source.android.com, Wordfence, CISA, Spaanse Nationale Politie, en het Ministerie van Justitie en Veiligheid. Alle claims zijn gecontroleerd, vermeende of nog niet bevestigde claims zijn als zodanig aangeduid.*

De belangrijkste punten

- Hotelsector breed geraakt: een datalek bij gedeelde boekingssystemen levert criminelen de gegevens voor phishing die klopt met een echte reservering.

- Datalek bij de gevangenis van Vught: geen hack, maar een overgeslagen wisprocedure op een uitgereikte laptop, mogelijk meldplichtig bij de Autoriteit Persoonsgegevens.

- Windows NETLOGON actief misbruikt: CVE-2026-41089 (CVSS 9.8) geeft op afstand de hoogste rechten op een domeincontroller, patch per direct.

- Toeleverketen onder vuur: de worm Miasma trof 32 npm pakketten van Red Hat en steelt breed inloggegevens uit ontwikkelomgevingen.

- Antwerps vonnis over phishing: een bank moet een slachtoffer terugbetalen, tenzij zij een grove fout bewijst, voorlopig in kort geding.

- Actief misbruikt lek in Android: CVE-2025-48595 wordt gericht misbruikt, de patch zit in de Android update van juni.

Lees ook

► Twee op de drie hotels lekken reserveringsgegevens van klanten - achtergrond bij de kwetsbaarheid van boekingssystemen

► Cyber Journaal S02E65, Meta AI lek kaapt Instagram en vier Benelux datalekken - de vorige aflevering

► AP, datadiefstal door cybercriminelen verdubbeld, wat nu - over de meldplicht en de trend in datalekken

► AI gestuurde cybercriminaliteit, een dreigende golf van phishing en malware - over AI als aanvalsoppervlak

Wil je dagelijks cyberdreigingen volgen? Schrijf je gratis in voor de Dreigingsradar dagelijkse alert van onze partner Digiweerbaar, met actuele incidenten en kwetsbaarheden uit Nederland en België. Voor CISO's en IT managers is er het betaalde Cyberdreigingsrapport van partner Digiweerbaar met dagelijkse en wekelijkse verdieping.

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam