Staatshackers hebben afgelopen tijd misbruik gemaakt van het lek in Pulse Secure-vpn-software, claimen inlichtingendiensten AIVD en MIVD. Het lek kwam in maart vorig jaar aan het licht en een maand later volgde een patch, maar veel bedrijven voerden de patch lang niet door.

Het is onbekend welke landen het lek misbruiken. AIVD en MIVD hebben vanwege het misbruik van het lek door staatshackers bedrijven en organisaties 'geadviseerd over weerbaarheidsverhogende maatregelen', zo zegt minister Ferd Grapperhaus van Veiligheid en Justitie in een Kamerbrief. Tot nu toe was wel bekend dat er exploits waren voor het lek in Pulse Secure, maar tot nu toe leek het erop dat alleen criminelen het lek misbruikten.

Het is onduidelijk hoe de inlichtingendiensten erachter zijn gekomen dat staatshackers het lek misbruiken en wat de gevolgen zijn geweest. Pulse Secure levert vpn-software aan honderden Nederlandse bedrijven en overheidsorganisaties. De ransomware bij GWK Travelex van eind voirg jaar zou binnen zijn gekomen via het lek bij Pulse Secure.

In oktober waarschuwde ook het Nationaal Cyber Security Centrum dat veel bedrijven nog gebruik maakten van de kwetsbare vpn-verbinding. In september schreef de Volkskrant dat honderden Nederlandse bedrijven, waaronder Shell, defensieaannemers, en DPG Media de patch om het lek te dichten nog niet hadden doorgevoerd.