Week in Breach Special Edition: Wat belangrijke cyberincidenten in 2025 ons hebben geleerd

Noord-Amerika

Salesforce-ecosysteem

In een van de meest significante cyberdreigingen van 2025 werd het Salesforce-ecosysteem het doelwit van een grootschalig datalek door een derde partij, wat wereldwijd voor opschudding zorgde in verschillende sectoren. Door het lek kwamen meer dan 1 miljard records van tientallen internationale ondernemingen op straat te liggen. De campagne verliep in meerdere fasen en richtte zich bewust op de zwakste schakels in het ecosysteem: menselijke users integraties van derde partijen.

Cruciaal is dat dit geen directe inbreuk op de kerninfrastructuur van Salesforce was. In plaats daarvan maakten cybercriminelen misbruik van menselijke fouten en vertrouwde toegang van derden om individuele Salesforce-instanties van klanten te compromitteren. De aanval volgde een duidelijk, herhaalbaar patroon:

• Ten eerste gebruikten aanvallers social engineering en voice phishing (vishing) om zich voor te doen als IT-medewerkers en werknemers te misleiden om toegang te verlenen.
• Vervolgens werden slachtoffers misleid om kwaadaardige Connected Apps te autoriseren, zoals valse versies van Salesforce Data Loader, of om OAuth-tokens bloot te geven die gekoppeld waren aan legitieme tools zoals Salesloft, Drift en Gainsight. Deze tokens gaven aanvallers permanente toegang tot de applicatieprogrammeerinterface (API) en omzeilden vaak de meervoudige authenticatie (MFA).
• Ten slotte gebruikten aanvallers Salesforce API's om grote hoeveelheden gegevens te exporteren, op zoek naar inloggegevens, accountgegevens en gevoelige persoonlijke informatie.

De impact van de aanval was enorm. Tot de getroffen organisaties behoorden luchtvaartmaatschappijen zoals Air France–KLM, Qantas en Vietnam Airlines, retailmerken zoals IKEA, Adidas en Chanel, en andere grote bedrijven, waaronder Google, TransUnion, Toyota en Disney.

De inbreuk werd opgeëist door een hackersgroep die bekend staat als Scattered LAPSUS$ Hunters, die een duistere website lanceerde om voorbeelden van gestolen gegevens te publiceren. De groep dreigde Salesforce en zijn klanten met verdere gegevenspublicaties, tenzij er losgeld zou worden betaald. Salesforce weigerde publiekelijk om aan de losgeld eisen te voldoen en trok daarmee een duidelijke grens tegen afpersing.

Verenigd Koninkrijk

Jaguar Land Rover (JLR)

Eind augustus 2025 werd de Britse autofabrikant Jaguar Land Rover (JLR) getroffen door een cyberaanval die uitgroeide tot het economisch meest schadelijke cyberincident in de geschiedenis van het Verenigd Koninkrijk. company de aanval company het company zijn systemen in alle wereldwijde productiefaciliteiten stilleggen, wat naar schatting 1,9 miljard pond aan schade opleverde.

Het incident begon op 31 augustus als een digitale inbreuk en escaleerde al snel tot een grote operationele crisis. Hoewel JLR snel actie ondernam om de dreiging in te dammen door systemen stil te leggen, kwam de productie in al zijn fabrieken bijna vijf weken lang tot stilstand. De verstoring had veel grotere gevolgen dan alleen voor JLR zelf. Meer dan 5.000 partners in de toeleveringsketen werden getroffen, waarvan vele te maken kregen met vertraagde betalingen en ernstige operationele tegenslagen. Sommige leveranciers worden nu geconfronteerd met een kredietverstrakking van wel zes maanden, wat illustreert hoe een enkele cyberaanval een rimpeleffect kan hebben op een heel industrieel ecosysteem.

De aanval werd in verband gebracht met Scattered LAPSUS$ Hunters, dezelfde groep die verantwoordelijk was voor de inbreuk op het Salesforce-ecosysteem en verschillende andere opvallende cyberincidenten in 2025.

Verenigde Staten

Amerikaanse universiteiten

Cyberaanvallen op Amerikaanse onderwijsinstellingen namen in 2025 toe, waarbij verschillende grote universiteiten werden getroffen, waaronder Ivy League-instellingen zoals de Universiteit van Pennsylvania en Princeton University. Bij deze incidenten kwamen miljoenen records met persoonlijke informatie van studenten, alumni, medewerkers en leden van de gemeenschap op straat te liggen.

Bij Penn kwam de aanval op 31 oktober aan het licht, toen leden van de universitaire gemeenschap e-mails ontvingen die afkomstig leken te zijn van de Graduate School of Education. De universiteit bevestigde later dat systemen die verband hielden met ontwikkelings- en alumni-activiteiten waren gehackt. Weken later maakte Princeton University een afzonderlijke inbreuk bekend die betrekking had op de database van haar ontwikkelingsafdeling. Terwijl het incident bij Penn betrekking had op persoonlijk identificeerbare informatie (PII) en enkele bankgegevens, verklaarde Princeton dat de inbreuk beperkt bleef tot namen, contactgegevens, adressen en donatiegeschiedenis.

Cyberaanvallen op onderwijsinstellingen nemen snel toe, grotendeels omdat universiteiten enorme hoeveelheden gevoelige persoonlijke en financiële gegevens opslaan. Naast algemene netwerkinbraken voeren aanvallers ook gerichte campagnes tegen universiteitsmedewerkers. In één van die gevallen ontdekte Microsoft een 'payroll pirate'-campagne waarbij cybercriminelen inbraken in HR-platforms, zoals Workday, om de salarissen van werknemers te kapen.

Australië

Universiteit van Western Sydney

Niet alleen Amerikaanse universiteiten worden aangevallen, ook onderwijsinstellingen wereldwijd worden steeds vaker het doelwit van cybercriminelen. In 2025 werd de Western Sydney University getroffen door een reeks cyberincidenten, waardoor dit een van de ernstigste inbreuken in de onderwijssector van het afgelopen jaar was.

De universiteit constateerde op 6 en 11 augustus twee gevallen van ongebruikelijke activiteit, beide met betrekking tot een studentenbeheersysteem dat werd gehost door een externe cloudprovider. Hoewel de toegang tot het platform werd geblokkeerd nadat de verdachte activiteit was ontdekt, bleek uit nader onderzoek dat de aanvaller misbruik had gemaakt van een keten van verbonden leveranciers. Door ongeoorloofde toegang via deze systemen van derde en vierde partijen kon de aanvaller toegang krijgen tot het studentenbeheersysteem van de universiteit en gegevens wegsluizen.

De hacker heeft zeer gevoelige studentengegevens gestolen, waaronder belastingnummers, paspoortgegevens en persoonlijke gezondheids- en invaliditeitsgegevens. In december hebben de autoriteiten bevestigd dat een voormalige student van de Western Sydney University in verband met de aanvallen is aangeklaagd.

Noord-Amerika

Rode Hoed

Op 2 oktober bevestigde Red Hat, een toonaangevende leverancier van open-source software voor bedrijven, een cyberaanval op zijn GitLab-instantie voor consulting. Met een klantenbestand dat bestaat uit overheidsinstanties, exploitanten van kritieke infrastructuur en grote bedrijven, zou het incident gegevens van meer dan 800 organisaties hebben getroffen.

Een dag eerder had een cybercriminaliteitsgroep die zichzelf Crimson Collective noemt, het datalek openbaar gemaakt. De groep beweerde dat het 570 GB aan gecomprimeerde gegevens had buitgemaakt uit meer dan 28.000 opslagplaatsen, waaronder gevoelige klantbetrokkenheidsrapporten (CER's). Red Hat bevestigde later dat het ongeoorloofde toegang had gedetecteerd tot een zelfgehoste GitLab-instantie die werd gebruikt voor interne Red Hat Consulting-samenwerking in bepaalde klantprojecten.

Volgens Red Hat bevatte de gecompromitteerde omgeving projectspecificaties, voorbeeldcodefragmenten, interne communicatie met consultants en beperkte zakelijke contactgegevens. Het company dat het incident beperkt bleef tot deze GitLab-omgeving voor consultants en geen invloed had op de kernproducten of productiesystemen van Red Hat.

Meerdere rapporten suggereren echter dat de gestolen gegevens bijna 3,5 miljoen bestanden omvatten, samen met gevoelige rapporten met betrekking tot de computernetwerken van organisaties in de bank-, telecom- en overheidssector.