Ataque de longa duração ao sistema prisional holandês

Invasores digitais tiveram acesso aos sistemas do Serviço de Instituições Judiciárias (DJI) da Holanda por pelo menos cinco meses e provavelmente ainda mantêm essa capacidade, de acordo com investigação publicada no último dia 27 pelo programa Argos, da emissora VPRO. A organização, responsável por prisões, clínicas de reclusão e centros para estrangeiros, confirmou o incidente a seus funcionários em comunicado interno de 12 de fevereiro.

Acesso a dados sensíveis de funcionários

De acordo com a investigação, os atacantes entraram por meio de uma vulnerabilidade no software Ivanti EPMM (Endpoint Manager Mobile), utilizado para gerenciar e proteger dispositivos móveis. A falha permitiu acesso a endereços de e-mail, números de telefone e certificados de segurança de usuários de celulares corporativos, laptops e tablets.

O DJI informou aos funcionários que fará a notificação do vazamento à Autoridade de Proteção de Dados (AP). Klaas Brandsma, ex-diretor de prisão, classificou a situação como preocupante. “Envolve pessoas, como diretores e chefes de departamento, que tomam decisões das quais detentos não gostam. Se alguém quiser chantageá-los ou ameaçá-los, ter os dados de contato é muito útil”, afirmou Brandsma. Ainda não está claro se os dados de localização dos dispositivos também foram acessados.

Riscos persistentes

O Centro Nacional de Cibersegurança (NCSC) da Holanda alerta que as vulnerabilidades no Ivanti EPMM permitem que um invasor não autenticado execute código arbitrário no sistema. Mesmo com a correção do software, o NCSC adverte que os invasores podem ter instalado backdoors, mantendo o acesso remoto e a capacidade de gerenciar dispositivos e roubar dados.

O especialista em cibersegurança Frank Breedijk recomenda que organizações comprometidas reinstalem todos os dispositivos que possam ter sido acessados. “Quando um sistema é comprometido, deve ser considerado perdido”, disse Breedijk.

O DJI não é a primeira vítima dessa vulnerabilidade. Em 6 de fevereiro, foi divulgado que a Autoridade de Proteção de Dados e o Conselho para o Poder Judiciário também sofreram vazamentos via Ivanti EPMM. O DJI confirmou ao Argos ter sido afetado e informou que investiga as causas.