De interne netwerken van verscheidene grote bedrijven lijken geruime tijd toegankelijk te zijn geweest voor kwaadwillenden door een lek in de vpn-software van Pulse Secure. Er is een update beschikbaar die het lek verhelpt, maar die was niet geïnstalleerd.
Dat meldt De Volkskrant zaterdag op basis van vertrouwelijke gesprekken en een melding van een it-expert bij het Nationaal Cyber Security Center. Nog altijd zouden er 140 systemen open staan, maar het is niet duidelijk om welke bedrijven en organisaties het precies gaat. Wel is De Volkskrant erachter gekomen dat bedrijven zoals KLM, Shell en Luchtverkeersleiding Nederland kwetsbaar waren en kwaadwillenden via misbruik van de vpn binnen konden komen op de interne netwerken.
Het lek is al in maart ontdekt door Taiwanese beveiligingsonderzoekers en toen ook aan vpn-ontwikkelaar Pulse Secure gemeld. Die dichtte het lek in april. Desondanks heeft een groot aantal bedrijven en organisaties de patch niet doorgevoerd, waaronder dus KLM en Shell. Beide bedrijven hebben nog niet gereageerd op de berichtgeving, en geen vragen beantwoord over waarom de update niet is geïnstalleerd.
Of er interne bestanden zijn gestolen bij deze bedrijven door kwaadwillenden, is niet bekend. Wel gaan er geluiden dat onder meer Chinese staatshackers het lek proberen uit te buiten. Het Nationaal Cyber Security Center schatte het risico op misbruik in april nog in op 'laag'. Maar omdat de Taiwanese beveiligingsonderzoekers in augustus demonstreerden hoe het lek misbruikt kon worden, werd alsnog het risico aangepast naar 'hoog'.
Desondanks zou dus nog een groot aantal bedrijven geen gehoor hebben gegeven aan de waarschuwing. Dat weet De Volkskrant na melding van Matthijs Koot, die melding deed bij het Nationaal Cyber Security Center na zelf te maken te hebben gekregen met een hackpoging, waarna hij op onderzoek uit ging. Alhoewel Koot niet wil zeggen bij welke bedrijven hij de kwetsbaarheid heeft gevonden, zou het onder meer gaan om de Rijksoverheid, verscheidene beursgenoteerde bedrijven, en ook bedrijven die te maken hebben met de nationale veiligheid. Koot zelf zegt: ‘Dit is een van de ernstigste situaties die ik in mijn carrière ben tegengekomen.’