De gevolgen van supply chain aanvallen worden steeds groter. Het AI platform Mercor verliest 4 terabyte aan data nadat een kwaadaardig Python pakket duizenden bedrijven trof. Starbucks ziet 10 gigabyte aan firmware en broncode lekken. En zelfs Anthropic lekt per ongeluk de broncode van hun AI tool Claude Code via een fout op NPM. Ondertussen stelen hackers gelinkt aan Noord-Korea $280 miljoen van een DeFi platform, geeft ShinyHunters Cisco een ultieme deadline, en maakt AI het voor criminelen mogelijk om ook kleine organisaties te targeten met business email compromise. In Nederland debatteert de Tweede Kamer over nazorgplicht voor datalekslachtoffers, terwijl in Belgie een stad zich vrijwillig laat hacken voor televisie.

Op een dag melden drie Nederlandse organisaties een datalek, van vakantiegangers tot voetbalsupporters en gemeentebestanden. Noord-Koreaanse hackers blijken achter de aanval op het populaire JavaScript pakket Axios te zitten dat wekelijks 100 miljoen keer wordt gedownload. Ondertussen zetten criminelen gekaapte computers in als anonimiseringsnetwerk en misbruiken ze vertrouwde Windows tools om antivirussoftware uit te schakelen. En AI modellen ontdekken actief onbekende kwetsbaarheden in veelgebruikte software, wat fundamentele vragen oproept over de toekomst van beveiligingsonderzoek.

De supply chain campagne van TeamPCP breidt zich razendsnel uit en heeft inmiddels vijf grote softwareprojecten vergiftigd in anderhalve week. Een kritieke zero-day in Telegram maakt het mogelijk om apparaten over te nemen door simpelweg een sticker te ontvangen. De Iraanse hackersgroep Handala hackte de persoonlijke e-mail van de directeur van de FBI Kash Patel, en de Europese Commissie bevestigde een inbraak waarbij honderden gigabytes aan data zijn buitgemaakt.

Deze week werd duidelijk hoe breed het dreigingslandschap inmiddels reikt. Bij Ajax werden de gegevens van 300.000 fans buitgemaakt en konden seizoenkaarten worden overgenomen, terwijl het Ministerie van Financiën een cyberaanval op beleidssystemen bevestigde. De groep TeamPCP escaleerde hun campagne door achtereenvolgens de Trivy vulnerability scanner en het LiteLLM pakket te compromitteren, waarmee miljoenen ontwikkelaars werden geraakt. Vier grote botnets met samen 3 miljoen geïnfecteerde apparaten werden ontmanteld door het Amerikaanse ministerie van Justitie. De DarkSword exploitkit voor iPhones verscheen openbaar op GitHub en voice phishing steeg naar de op een na grootste aanvalsvector. Dichter bij huis verloor een verkoper uit Nijkerk ruim 12.000 euro na een neplink via Marktplaats, de politie zoekt de verdachte. Lees alle details in de vier artikelen van deze week.

Een 47-jarige man uit Nijkerk werd in september 2025 slachtoffer van een geraffineerde hack via Marktplaats. Een oplichter deed zich voor als geïnteresseerde koper, stuurde een neplink voor een zogenaamde ophaalservice en plunderde vervolgens de bankrekening van het slachtoffer. In totaal werd ruim 12.000 euro gestolen. De politie zoekt de man die met de gestolen bankgegevens pinde in Dordrecht.

Nederland werd deze week hard geraakt. Bij AFC Ajax kregen aanvallers toegang tot gegevens van meer dan 300.000 fans, konden 42.000 seizoenkaarten stelen of deactiveren en stadionverboden inzien of opheffen. De politie meldde zelf getroffen te zijn door een phishingaanval. Ondertussen liggen exploits voor iPhones openbaar op GitHub en escaleren aanvallen op de software supply chain in hoog tempo.