Het cyberbeveiligingsagentschap van de Europese Unie, CERT-EU, heeft bevestigd dat een recent groot datalek waarbij de Europese Commissie betrokken was, het resultaat was van een gecoördineerde inspanning van twee verschillende hackgroepen: TeamPCP en ShinyHunters. Bij het incident kwam ongeveer 92 gigabyte aan gecomprimeerde gegevens in gevaar, waaronder persoonlijke informatie zoals namen, e-mailadressen en de inhoud van e-mails.
Details en reikwijdte van de inbreuk
De aanval vond plaats op 19 maart, toen hackers een geheime API-sleutel verkregen die was gekoppeld aan het Amazon Web Services (AWS)-account van de Commissie. Deze toegang werd verkregen via een gecompromitteerde versie van de open-source beveiligingstool Trivy, die de Commissie onbewust had gedownload na een eerdere inbreuk. De gestolen gegevens hadden niet alleen gevolgen voor de Commissie, maar mogelijk ook voor minstens 29 andere EU-entiteiten die voor hun websites en publicaties afhankelijk waren van de cloudinfrastructuur van de Commissie.
ShinyHunters eiste later de verantwoordelijkheid op voor het online publiceren van de gelekte gegevens. Volgens een lid van de groep hebben ze na eerdere aanvallen een aantal van de gestolen bestanden van TeamPCP verkregen en deze vervolgens publiekelijk verspreid.
Waarom dit ertoe doet: de opkomst van supply chain-aanvallen
Dit incident is opmerkelijk omdat het een toenemende trend in cybercriminaliteit benadrukt: supply chain-aanvallen. Door tools als Trivy te compromitteren krijgen hackers toegang tot meerdere organisaties die afhankelijk zijn van dezelfde software. Deze strategie maximaliseert de impact met minimale inspanning. Zoals Palo Alto Networks Unit 42 uitlegt, kunnen hackers door zich te richten op ontwikkelaars met toegang tot gevoelige systemen organisaties afpersen voor losgeld.
Het feit dat er twee afzonderlijke groepen bij betrokken waren, duidt ook op een mogelijke samenwerking of opportunistische exploitatie van dezelfde kwetsbaarheid. CERT-EU neemt contact op met getroffen organisaties om verdere schade te beperken. De woordvoerder van de Commissie weigerde onmiddellijk commentaar te geven en zei dat ze volgende week zouden reageren.
Risico’s van gegevensblootstelling
Uit analyse van de gelekte bestanden blijkt dat ongeveer 52.000 bestanden e-mailberichten bevatten. Hoewel veel hiervan geautomatiseerd zijn en weinig inhoud bevatten, kunnen e-mails die vanwege fouten worden teruggestuurd, originele door de gebruiker ingediende gegevens blootleggen, waardoor het risico ontstaat dat persoonlijke gegevens in gevaar komen.
Deze inbreuk onderstreept de kwetsbaarheid van zelfs spraakmakende instellingen voor veelvoorkomende aanvalsvectoren zoals compromitteringen in de toeleveringsketen en gestolen API-sleutels. Het incident dient als een duidelijke herinnering voor organisaties om prioriteit te geven aan softwarebeveiligingsupdates, robuuste toegangscontroles en waakzame monitoring van hun cloudinfrastructuur.
