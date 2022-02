De hack op het internationale comité van het Rode Kruis (ICRC) kon plaatsvinden door een kwetsbaarheid in bepaalde software. Er was al enkele maanden een update beschikbaar die de problemen moest verhelpen, maar de hulporganisatie meldt dat ze die nog niet had doorgevoerd.

Bij de hack die in januari werd ontdekt werden de gegevens van 515.000 kwetsbare personen gestolen, waaronder die van 4.600 Nederlanders. Het gaat bijvoorbeeld om mensen die op de vlucht waren voor conflicten en mensen die op zoek zijn naar familieleden die ze uit het oog zijn verloren door een ramp, conflictsituatie of detentie.

Waarom de update voor ManageEngine ADSelfService Plus van het softwarebedrijf Zoho niet op tijd werd uitgevoerd, is niet duidelijk. Het Rode Kruis schrijft jaarlijks tienduizenden updates - zogenoemde patches - uit te voeren. "Het tijdig uitvoeren van noodzakelijke updates is essentieel voor onze cybersecurity. Helaas hebben we deze update niet op tijd uitgevoerd."

Volgens het Rode Kruis maakten de aanvallers ook gebruik van zeer geavanceerde hacktechnieken, die doorgaans alleen door professionele groepen worden ingezet. "Deze tools zijn niet publiekelijk beschikbaar", zegt de organisatie.

De hack werd op 18 januari ontdekt, maar vond al plaats op 9 november vorig jaar. Het Rode Kruis zegt inmiddels alle betrokken personen te hebben geïnformeerd. Of de hackers de gegevens hebben gedeeld of verkocht, is niet duidelijk. Ze zouden geen losgeld hebben gevraagd.