EU-hack door ShinyHunters: wat er echt aan de hand is
De Europese Unie heeft bevestigd dat hackgroep ShinyHunters achter de aanval op het europa.eu-hostingplatform zit. Daarbij zijn vooral namen en e-mailadressen buitgemaakt, plus een stapel mails die via dat platform zijn verstuurd. De groep riep al snel dat zij erachter zaten, maar nu ligt er ook een technisch rapport van CERT-EU dat dat bevestigt.
Als je ooit een formulier op een EU-site hebt ingevuld of je hebt je aangemeld voor een nieuwsbrief, vraag je je waarschijnlijk af of jouw gegevens ertussen zitten. Het gaat vooral om data van publieke websites, maar dat betekent niet dat je het zomaar kunt negeren. Criminelen krijgen nu een kant-en-klare lijst met adressen en context in handen.
Je hoeft niet in paniek te raken, maar het is wél slim om even bewust te kijken wat dit voor jou kan betekenen. Zowel als gewone gebruiker als iemand die bij een organisatie werkt die zelf met gevoelige data of cloudomgevingen bezig is. Dit soort incidenten laat goed zien waar het in de praktijk misgaat.
Wat ShinyHunters precies heeft buitgemaakt
Volgens CERT-EU gaat het om 91,7 GB aan gecomprimeerde data. Uitgepakt komt dat neer op zo’n 340 GB aan bestanden. Die data komt van websites die draaien op het europa.eu-hostingplatform, dus niet van alle interne systemen van de EU.
Het gaat om 42 sites van de Europese Commissie en 29 sites van andere EU-organisaties. Denk aan informatiesites, campagnesites, themapagina’s en omgevingen waar je je kunt inschrijven voor nieuwsbrieven of evenementen. Het zijn dus vooral webomgevingen die aan de buitenkant al zichtbaar zijn.
In de dataset zitten onder meer namen, achternamen, e-mailadressen en gebruikersnamen. Een deel daarvan was waarschijnlijk al openbaar, bijvoorbeeld van contactpersonen, sprekers of medewerkers die op sites staan. Het verschil is dat die gegevens nu in één grote bundel bij criminelen liggen, wat het veel makkelijker maakt om gericht misbruik te proberen.
ShinyHunters is geen kleine speler. In Nederland ken je ze misschien van de grote Odido-hack eerder dit jaar. Hun patroon is vaak hetzelfde: ze zoeken naar een zwakke plek, trekken grote hoeveelheden data weg en proberen daar vervolgens geld of aandacht uit te halen.
Welke persoonsgegevens zijn er uitgelekt
De EU benadrukt dat het vooral om gegevens van websites gaat. Dat betekent dat een deel van de informatie al via de sites zelf te vinden was. Toch is dat niet het hele verhaal, want in zo’n dump zitten bijna altijd ook dingen die je niet zomaar op de site ziet.
De basis is vrij duidelijk: namen, achternamen, e-mailadressen en gebruikersnamen. Heb jij je ooit geregistreerd voor een event, nieuwsbrief of account op een europa.eu-site, dan kan jouw e-mailadres daar tussen staan. Zeker als je daarna automatische mails hebt gekregen, zoals bevestigingen of updates.
Daarnaast zijn er bijna 52.000 e-mails buitgemaakt die via het europa.eu-platform zijn verstuurd. Veel daarvan zijn standaard notificaties, zoals bevestigingsmails of simpele meldingen. Volgens CERT-EU hebben die meestal weinig inhoud, maar het zijn wel extra stukjes context over wie jij bent en wat je hebt gedaan.
Een deel van die mails zijn bouncebacks, dus automatische antwoorden op berichten die niet goed werden afgeleverd. In zulke foutmails kan de originele tekst van de afzender terugkomen, soms als bijlage, soms in de mail zelf. Daar kunnen meer persoonlijke gegevens in staan dan alleen een naam en e-mailadres.
Dat kan gaan om onschuldige vragen, maar ook om dingen die je liever niet terugziet in een datalek. Denk aan klachten, subsidieaanvragen, zakelijke voorstellen of persoonlijke situaties die je hebt uitgelegd. CERT-EU waarschuwt daarom dat er mogelijk meer gevoelige data in de set zit dan alleen de standaard contactgegevens.
De rol van e-mails in het datalek
Die 52.000 uitgelekte e-mails lijken misschien weinig op het totaal, maar ze zijn wel interessant voor aanvallers. Automatische mails bevatten vaak net genoeg informatie om iemand te herkennen of te benaderen. Denk aan je naam, het onderwerp en soms details over waar je je voor hebt aangemeld.
De bouncebacks zijn spannender. Stel dat jij een mail hebt gestuurd naar een EU-adres via een formulier of rechtstreeks, en dat die niet goed aankwam. Dan kan jouw oorspronkelijke bericht in zo’n foutmelding terechtkomen, inclusief bijlagen.
Als die foutmelding in de buitgemaakte dataset staat, ligt jouw tekst nu ook op straat. Dat kan gaan over zakelijke plannen, interne problemen, medische situaties of financiële info. Voor criminelen is dat goud, omdat ze daar heel geloofwaardige gerichte phishingmails mee kunnen maken.
De dataset wordt nog steeds geanalyseerd. Dat kost tijd, omdat het om veel data gaat en de structuur per site verschilt. Totdat dat onderzoek klaar is, blijft er onzekerheid over de precieze impact per site en per type gebruiker.
Hoe de hackers via Trivy en AWS binnenkwamen
CERT-EU heeft ook uitgelegd hoe de aanval technisch is verlopen. De kern: de aanvallers hebben misbruik gemaakt van een bekende kwetsbaarheid in Trivy. Dat is een tool die wordt gebruikt om kwetsbaarheden in containers en images op te sporen.
In dat lek konden aanvallers een infostealer verstoppen. Die stealer kon gevoelige gegevens oppikken, zoals toegangssleutels en configuraties. In dit geval is er een AWS-api-sleutel buitgemaakt, en dat is precies het soort sleutel dat je liever nooit verliest.
Met zo’n sleutel kun je, als er verder geen extra beveiliging is, bij een cloudaccount komen. Via die sleutel kregen de hackers toegang tot een AWS-account dat werd gebruikt voor het europa.eu-platform. Niet omdat AWS zelf lek was, maar omdat de sleutel te veel kon en niet goed was afgeschermd of beperkt.
Vanaf dat punt konden ze bij de data van de gehoste sites. Denk aan databases, opslagbuckets en configuraties die aan dat account hingen. Hoe meer rechten zo’n sleutel heeft, hoe groter de schade als iemand hem misbruikt.
De aanval werd op 24 maart ontdekt door de Europese Commissie. Drie dagen later maakte de Commissie de hack openbaar. Nog een dag daarna zette ShinyHunters de gestolen data online, wat laat zien hoe snel het kan gaan zodra een groep eenmaal binnen is.
Wat dit zegt over beveiliging bij grote organisaties
Dat zelfs het europa.eu-platform geraakt wordt, laat zien dat geen enkele organisatie immuun is. Ook niet als je grote budgetten, cloudplatformen en eigen securityteams hebt. In de praktijk gaat het vaak mis op een relatief simpel punt.
Hier zie je een klassiek ketenprobleem. Een tool die bedoeld is om je omgeving veiliger te maken, Trivy, bleek zelf een ingang te bieden. Als zo’n tool niet snel wordt bijgewerkt, is het een makkelijk doelwit, zeker als hij draait op plekken waar ook sleutels en configuraties staan.
Voor grote organisaties is het lastig om overal tegelijk scherp op te zijn. Je hebt tientallen tools, verschillende teams en een hoop leveranciers. Eén vergeten update of een sleutel met te brede rechten is dan genoeg om de deur open te zetten.
Cloudgebruik maakt het niet automatisch onveiliger, maar verschuift wel de kwetsbare punten. Niet de fysieke servers zijn het probleem, maar de toegangssleutels, rollen en rechten. Als je die niet strak inricht, wordt een gestolen sleutel ineens een hoofddeur in plaats van een zij-ingang.
Wat hier ook speelt, is zichtbaarheid. Als je niet precies weet welke tools waar draaien en welke rechten ze hebben, is het lastig om snel te reageren. Dan merk je een incident pas op als er al data is weggetrokken of als een groep als ShinyHunters ermee gaat pronken.
Wat je zelf nu het beste kunt doen
Als je ooit iets hebt gedaan op een europa.eu-site, is het lastig om precies te weten of jouw gegevens in deze dataset zitten. Er is nog geen volledige lijst per site gepubliceerd. Toch kun je nu al een paar dingen doen die je risico flink verlagen.
- Let extra op verdachte mails
Wees de komende tijd kritisch op mails die lijken te komen van EU-organisaties of die naar EU-thema’s verwijzen. Phishing wordt geloofwaardiger als een aanvaller jouw naam en e-mailadres kent. Controleer het afzenderadres, let op rare taal en klik niet zomaar op links of bijlagen.
- Gebruik unieke wachtwoorden
Heb je ooit een account aangemaakt op een europa.eu-site en hergebruik je dat wachtwoord elders, dan is dit een goed moment om dat patroon te doorbreken. Ook al is er nu geen hard bewijs dat wachtwoorden zijn gelekt, hergebruik blijft een zwakke plek. Een wachtwoordmanager helpt je om voor elke site iets unieks te kiezen zonder dat je het allemaal hoeft te onthouden.
- Wees bewust van wat je eerder hebt gemaild
Heb je in een mail naar een EU-adres gevoelige informatie gedeeld, bijvoorbeeld over je werk, gezondheid of financiën, sta daar dan even bij stil. Bedenk welke details daarin stonden en hoe iemand die tegen je zou kunnen gebruiken. Vaak gaat het dan om gerichte phishing of misbruik van context, niet direct om identiteitsdiefstal.
- Controleer je accounts en instellingen
Kijk of je op belangrijke diensten tweestapsverificatie aan hebt staan. Dat maakt het voor aanvallers veel lastiger om met alleen een e-mailadres en wachtwoord binnen te komen. Begin bij je mail, je bank, je sociale media en je werkaccount als je die op je eigen apparaten gebruikt.
Zie dit incident als een duwtje in de rug om je digitale basis op orde te brengen. De kans dat jij persoonlijk het hoofddoel bent, is klein, maar veel aanvallen zijn geautomatiseerd. Hoe beter jouw basis, hoe groter de kans dat aanvallers je gewoon overslaan.
Wat organisaties hier direct van kunnen leren
Voor organisaties is deze hack een duidelijke wake-upcall. Niet alleen voor overheden, maar ook voor bedrijven en instellingen die met cloud en externe tools werken. De zwakke plek zat hier niet in een exotisch systeem, maar in een veelgebruikte beveiligingstool.
- Beperk wat een enkele sleutel kan doen
Geef api-sleutels en toegangstokens alleen de rechten die echt nodig zijn. Splits accounts op per omgeving of toepassing, zodat een sleutel nooit overal bij kan. Zorg dat sleutels automatisch verlopen en regelmatig worden vervangen.
- Automatiseer updates van kritieke tools
Tools als scanners, deploymentsoftware en monitoring draaien vaak dicht op je infrastructuur. Als je daar handmatig patches voor moet inplannen, loop je al snel achter. Automatiseer updates waar het kan en zorg dat kwetsbaarheden in dit soort tools prioriteit krijgen.
- Weet waar je gevoelige data staat
In dit incident ging het officieel om webdata, maar er bleken ook e-mails en mogelijk extra persoonsgegevens tussen te zitten. Maak voor jezelf inzichtelijk welke soorten data waar terechtkomen, inclusief logs, back-ups en mailflows. Hoe beter je dat weet, hoe sneller je bij een incident kunt inschatten wat er echt op straat ligt.
- Test je keten, niet alleen je eigen code
Veel organisaties scannen hun eigen applicaties wel, maar vergeten de tools eromheen. Denk aan CI/CD-systemen, scanners, back-upsoftware en beheertools. Neem die mee in pentests en risicoanalyses, en behandel ze als volwaardige onderdelen van je aanvalsvlak.
Als je in een organisatie werkt die op AWS of een ander cloudplatform draait, is dit een goed moment om je toegangsmodel nog eens langs te lopen. Kijk naar welke sleutels er zijn, welke rollen ze hebben en of er nog oude, ongebruikte sleutels rondslingeren. Vaak haal je met een paar simpele opruimacties al een hoop risico weg.
Hoe je misbruik van deze data kunt herkennen
De kans is groot dat de buitgemaakte data vooral wordt gebruikt voor gerichte spam en phishing. Daar kun je je redelijk goed tegen wapenen als je weet waar je op moet letten. Het helpt als je een paar typische patronen herkent.
- Mails die heel specifiek lijken
Omdat aanvallers jouw naam, mailadres en soms context van een event of nieuwsbrief hebben, kunnen ze mails sturen die best geloofwaardig ogen. Bijvoorbeeld een update over een conferentie waar je je ooit voor hebt aangemeld. Let dan extra op het afzenderadres en de link waar je naartoe wordt gestuurd.
- Druk en urgentie
Veel phishing speelt in op haast: “je account verloopt”, “laatste kans om je gegevens te bevestigen” of “je aanvraag wordt verwijderd”. Zeker als zo’n mail verwijst naar iets EU-achtigs, zoals subsidies of projecten, is het verleidelijk om snel te klikken. Neem dan juist even de tijd en ga desnoods zelf naar de officiële site in plaats van de link in de mail te gebruiken.
- Ongewone verzoeken rond gevoelige info
Word je ineens gevraagd om documenten, paspoortkopieën of bankgegevens te sturen in reactie op iets wat je ooit met een EU-organisatie hebt besproken, wees dan extra wantrouwig. Criminelen kunnen oude context gebruiken om nieuwe gegevens los te peuteren. Bel of mail via een officieel kanaal om te checken of het verzoek echt is.
Merk je dat je veel verdachte mails krijgt die lijken te verwijzen naar EU-sites of activiteiten, dan is dat een signaal om je beveiliging wat op te schroeven. Denk aan strengere spamfilters, extra verificatie bij belangrijke acties en duidelijke interne afspraken als je in een organisatie werkt.
Waarom dit soort lekken blijven gebeuren
Het voelt misschien alsof er elke maand wel een groot datalek in het nieuws komt. Dat klopt ook aardig. De reden is niet dat iedereen ineens slechter is gaan beveiligen, maar dat de complexiteit enorm is toegenomen.
Organisaties gebruiken steeds meer tools, cloudplatformen en externe diensten. Elke extra schakel is een mogelijk lek, zeker als die tool veel rechten krijgt en daarna weinig aandacht. In dit geval was Trivy bedoeld als beveiligingslaag, maar werd het juist de ingang.
Daar komt bij dat aanvallers steeds beter worden in het combineren van informatie. Een lijst met e-mailadressen hier, wat context uit mails daar, en een oud datalek van een andere partij erbij. Samen wordt dat een heel bruikbare set om mensen en organisaties onder druk te zetten.
Voor jou als gebruiker betekent dit dat je niet alles zelf kunt voorkomen, maar wel je eigen schade kunt beperken. Unieke wachtwoorden, tweestapsverificatie en een gezonde dosis wantrouwen bij onverwachte mails helpen echt. Je maakt jezelf daarmee een minder aantrekkelijk doelwit, ook als jouw gegevens in een lek opduiken.