De week in Breach-nieuws

27 mei 2026

Een geautomatiseerde kwaadaardige campagne met de naam „Megalodon“ heeft meer dan 5.000 GitHub-repositories getroffen, wat wereldwijd tot ernstige bezorgdheid leidt onder ontwikkelaars en in CI/CD-omgevingen. Ondertussen hebben Duitse universiteitsziekenhuizen te maken met een grootschalig datalek waarbij patiëntgegevens zijn gelekt, terwijl aanvallen op de Amerikaanse gezondheidszorg- en verzekeringssector ertoe blijven leiden dat gevoelige klantgegevens openbaar worden gemaakt.

Noord-Amerika

GitHub-repositories

Industrie: Technologie Exploit: Aanval op de toeleveringsketen

Meer dan 5.000 GitHub-repositories werden getroffen door een geautomatiseerde kwaadaardige campagne met de naam „Megalodon“, waarbij valse pull-verzoeken werden gebruikt om gevoelige informatie te stelen.

Het aantal aanvallen via de toeleveringsketen op open-source-repositories voor JavaScript en Python blijft sterk toenemen. Naar aanleiding van een recent incident waarschuwde GitHub, dat eigendom is van Microsoft, dat aanvallers ongeveer 3.800 interne repositories hadden gestolen nadat een ontwikkelaar een besmette Visual Studio Code-extensie had geïnstalleerd. De hackgroep TeamPCP, die zich via de toeleveringsketen te werk stelt, heeft de verantwoordelijkheid voor de aanval opgeëist.

In plaats van de applicatiecode rechtstreeks te wijzigen, voegde de Megalodon-campagne via GitHub Actions – het cloudgebaseerde CI/CD-platform van GitHub voor het bouwen, testen en implementeren van software – een kwaadaardig workflowbestand toe aan repositories. Naar verluidt voerde de Megalodon-campagne in totaal binnen zes uur 5.718 kwaadaardige commits uit in 5.561 repositories.

Bron

Hoe het uw bedrijf kan beïnvloeden

Zodra een repository-eigenaar een kwaadaardige commit samenvoegt, kan de malware binnen de CI/CD-pijplijn worden uitgevoerd en zich mogelijk verder verspreiden naar gekoppelde omgevingen. Aangezien aanvallen via de toeleveringsketen steeds vaker voorkomen, moeten organisaties hun code-reviewprocessen aanscherpen, afhankelijkheden van derden controleren en ontwikkelingspijplijnen voortdurend monitoren op verdachte activiteiten en ongeoorloofde wijzigingen in de workflow.

Europa

Unimed

Industrie: Gezondheidszorg Exploit: Inbreuk op gegevens van derden

Duitse universitaire ziekenhuizen kampen met een grootschalig datalek waarbij patiëntgegevens zijn buitgemaakt, nadat onbekende hackers een externe facturatiedienstaanbieder hebben aangevallen die door medische centra in het hele land wordt gebruikt.

Het datalek zou Unimed hebben getroffen, een bedrijf dat namens talrijke Duitse ziekenhuizen de facturering verzorgt voor particulier verzekerde en zelfbetalende patiënten. Volgens berichten vond de aanval half april plaats en waren tienduizenden patiënten van de universiteitsziekenhuizen in Keulen, Freiburg, Ulm, Heidelberg en Tübingen hierdoor getroffen.

De gelekte gegevens zouden onder meer namen, adressen, gegevens over artsen, medische correspondentie met de facturerende instantie en gegevens over bank- en betalingsgegevens omvatten.

Bron

Hoe het uw bedrijf kan beïnvloeden

Bij dit soort datalekken in de gezondheidszorg kunnen zeer gevoelige persoonsgegevens (PII) en beschermde gezondheidsinformatie (PHI) openbaar worden, waardoor het risico op identiteitsdiefstal, verzekeringsfraude en gerichte phishingaanvallen toeneemt. Zorginstellingen moeten het toezicht op de beveiliging bij derde partijen aanscherpen, strenge toegangscontroles handhaven, voortdurend toezicht houden op verdachte activiteiten en ervoor zorgen dat gevoelige patiëntgegevens worden versleuteld en veilig gesegmenteerd.

Noord-Amerika

Beacon Mutual Verzekeringsmaatschappij

Branche: Verzekering Exploit: Ransomware en malware

Beacon Mutual Insurance Company, een toonaangevende verzekeraar op het gebied van arbeidsongevallenverzekeringen met hoofdkantoor in Rhode Island, is begonnen met het informeren van personen van wie de persoonsgegevens bij een recente ransomware-aanval zijn gelekt.

Het bedrijf ontdekte de aanval op 14 januari 2026, en uit onderzoek bleek later dat de aanvallers tussen 7 en 14 januari toegang hadden gehad tot bepaalde systemen. In die periode zouden de aanvallers gegevensbestanden hebben gekopieerd die gevoelige informatie bevatten, zoals namen, burgerservicenummers, rijbewijsnummers, bankgegevens, gegevens over ziektekostenverzekeringen en medische dossiers.

Naar schatting zijn ongeveer 162.000 mensen getroffen, waaronder meer dan 131.000 inwoners van Rhode Island. Beacon Mutual heeft laten weten dat het de getroffen personen op de hoogte stelt en roept iedereen die denkt mogelijk getroffen te zijn op om contact op te nemen met het bedrijf.

Bron

Hoe het uw bedrijf kan beïnvloeden

Het openbaar maken van financiële, medische en identiteitsgerelateerde gegevens kan het risico op fraude, identiteitsdiefstal en gerichte phishingaanvallen aanzienlijk vergroten. Organisaties die met gevoelige klantgegevens werken, moeten hun netwerkbewaking versterken, strenge controles op de toegang tot gegevens handhaven en versleutelde, gesegmenteerde opslagomgevingen in stand houden om de gevolgen van datalekken te beperken.

Noord-Amerika

American Lending Center

Sector: Financiën Misbruik: Ransomware en malware

American Lending Center, een in Californië gevestigde niet-bancaire kredietverstrekker die gespecialiseerd is in leningen voor kleine bedrijven en start-ups, heeft melding gemaakt van een ransomware-aanval waarbij gevoelige persoonsgegevens van 123.158 personen zijn buitgemaakt.

Het datalek werd op 27 juli 2025 ontdekt en uit onderzoek bleek later dat aanvallers tussen 24 en 30 juli 2025 toegang hadden gehad tot bestanden. De gelekte gegevens kunnen namen, geboortedata en burgerservicenummers bevatten. Het forensisch onderzoek werd pas op 8 april 2026 afgerond, bijna negen maanden nadat het incident voor het eerst was vastgesteld.

Geen enkele bekende ransomwaregroep heeft publiekelijk de verantwoordelijkheid voor de aanval opgeëist, wat erop wijst dat er ofwel losgeld is betaald, ofwel dat de daders geen openbare lekwebsite hebben.

Bron

Hoe het uw bedrijf kan beïnvloeden

Het betalen van losgeld biedt geen garantie dat aanvallers zich aan hun woord houden of gestolen gegevens definitief verwijderen; daarom zijn preventie en een goede voorbereiding op herstel van cruciaal belang. Organisaties moeten investeren in proactieve monitoring van bedreigingen, versleutelde en regelmatig geteste back-ups bijhouden en ervoor zorgen dat ze beschikken over een gedegen plan voor bedrijfscontinuïteit en noodherstel (BCDR), zodat ze snel kunnen herstellen zonder afhankelijk te zijn van aanvallers.

Noord-Amerika

Grafana Labs

Industrie: Technologie Exploit: Aanval op de toeleveringsketen

Grafana Labs, het bedrijf achter het door AI aangestuurde analyse- en visualisatieplatform Grafana, heeft bekendgemaakt dat een cybercrimineel misbruik heeft gemaakt van een verkeerd geconfigureerde GitHub Actions-workflow, ook wel bekend als een „Pwn Request“, om een GitHub App-token met beheerdersrechten te stelen. Naar verluidt kon de aanvaller hierdoor vertrouwelijke broncode buitmaken en pogingen ondernemen om het bedrijf te chanteren.

In een reeks berichten op X (voorheen Twitter) heeft Grafana Labs gemeld dat een onbevoegde partij een token heeft verkregen waarmee toegang tot de GitHub-omgeving werd verkregen en broncode kon worden gedownload. Een Pwn Request is een kwetsbaarheid in de CI/CD-workflows van GitHub Actions, waarbij onbetrouwbare code van externe bijdragers automatisch wordt uitgevoerd, waardoor geheimen van repositories mogelijk worden blootgesteld en aanvallers schrijfrechten krijgen.

De aanslag werd publiekelijk opgeëist door Coinbase Cartel, een groep die zich bezighoudt met gegevensdiefstal en afpersing en die naar verluidt banden heeft met het SLSH-ecosysteem. Volgens berichten eiste de groep losgeld, maar Grafana Labs weigerde dit te betalen. Het bedrijf beriep zich daarbij op advies van de FBI dat het betalen van losgeld geen garantie biedt voor de teruggave of verwijdering van gestolen gegevens.

Bron

Hoe het uw bedrijf kan beïnvloeden

Verkeerd geconfigureerde CI/CD-workflows kunnen aanvallers directe toegang geven tot gevoelige repositories, vertrouwelijke gegevens en ontwikkelomgevingen. Organisaties moeten de machtigingen voor GitHub Actions controleren, de uitvoering van onbetrouwbare code beperken, CI/CD-pijplijnen continu monitoren en toegangsbeperkingen op basis van het ‘minimale-rechtenprincipe’ handhaven om het risico op inbreuken in de toeleveringsketen te verminderen.

Vind je het leuk wat je leest?

Schrijf u nu in om elke week security en -informatie in uw inbox te ontvangen.

Komende webinars en evenementen

Neem deel aan onze komende evenementen en webinars voor deskundige inzichten, praktische strategieën en de nieuwste trends op het gebied van cyberbeveiliging.

Tech Jam: Datto RMM-filters gebruiken om geautomatiseerde resultaten te behalen

28 mei 2026, 11.00 uur EDT

Stop met het achtervolgen van meldingen en begin met het automatiseren van oplossingen. Tijdens deze sessie leert u hoe u Datto RMM-filters en automatisering kunt combineren om problemen automatisch op te sporen en onmiddellijk te verhelpen. Zo helpt u uw team de handmatige inspanningen te verminderen, problemen sneller op te lossen en op grote schaal meer eindpunten te beheren.

Nu registreren

Beveiligingsoplossingen: update over productinnovaties in het tweede kwartaal van 2026

2 juni 2026, 11.00 uur EST

Krijg een exclusief kijkje in de nieuwste innovaties binnen de beveiligingsoplossingen van Kaseya. Van nieuwe AI-gestuurde functies tot de lancering van nieuwe platforms: ontdek hoe MSP’s en IT-teams van bedrijven sneller bedreigingen kunnen opsporen, slimmer kunnen reageren en de beveiliging met minder inspanning kunnen versterken via een geïntegreerd beveiligingsecosysteem.

Nu registreren