Bij de hack die in januari werd ontdekt werden de gegevens van 515.000 kwetsbare personen gestolen, onder wie 4.600 mensen die via het Nederlandse Rode Kruis om hulp hadden gevraagd. Het gaat bijvoorbeeld om mensen die op de vlucht waren voor conflicten en mensen die op zoek zijn naar familieleden die ze uit het oog zijn verloren door een ramp, conflictsituatie of detentie.

Waarom de update voor ManageEngine ADSelfService Plus van het softwarebedrijf Zoho niet op tijd werd uitgevoerd, is niet duidelijk. Het Rode Kruis schrijft jaarlijks tienduizenden updates - zogenoemde patches - uit te voeren. "Het tijdig uitvoeren van noodzakelijke updates is essentieel voor onze cybersecurity. Helaas hebben we deze update niet op tijd uitgevoerd."

Volgens het Rode Kruis maakten de aanvallers ook gebruik van zeer geavanceerde hacktechnieken, die doorgaans alleen door professionele groepen worden ingezet. "Deze tools zijn niet publiekelijk beschikbaar", zegt de organisatie.

De hack werd op 18 januari ontdekt, maar vond al plaats op 9 november vorig jaar. Het Rode Kruis is nog bezig alle betrokken personen te informeren. Of de hackers de gegevens hebben gedeeld of verkocht, is niet duidelijk. Ze zouden geen losgeld hebben gevraagd.