ShinyHunters steelt 297 GB van HR-systemen van de Raad van Europa

ShinyHunters steelt 297 GB van HR-systemen van de Raad van Europa

De Raad van Europa, de belangrijkste instelling van het continent op het gebied van mensenrechten, democratie en de rechtsstaat, is het nieuwste spraakmakende slachtoffer geworden van de ShinyHunters ransomwaregroep. De inbreuk legde 297 GB aan gevoelige HR- en salarisgegevens bloot, waaronder meer dan 409.000 loonstroken en ruim 14.000 cv's van medewerkers, met gevolgen voor personeel van het Secretariaat en het Directoraat Personeelszaken. Het datalek bij de Raad van Europa door ShinyHunters is niet zomaar een cyberincident; het is een scherpe herinnering dat zelfs de instanties die belast zijn met de bescherming van de rechten van burgers, kunnen falen in het beschermen van de persoonsgegevens van hun eigen mensen.

Wat er is gestolen: een kijkje in het datalek van 297 GB aan HR- en salarisgegevens

Volgens de beweringen van ShinyHunters is de buit van deze inbreuk aanzienlijk. Meer dan 429.000 bestanden zijn gecompromitteerd, met gegevens die loonstroken, cv's, arbeidscontracten en interne HR-dossiers omvatten. Alleen al de loonstroken beslaan meer dan 409.000 documenten, wat betekent dat dit datalek waarschijnlijk een aanzienlijk deel van het huidige en voormalige personeel van de Raad treft.

De gevoeligheid van deze gegevens kan niet genoeg worden benadrukt. Loonstroken bevatten doorgaans volledige wettelijke namen, thuisadressen, nationale identificatienummers, bankgegevens, salarisinformatie en belastinggegevens. Cv's voegen nog een extra laag blootstelling toe, waaronder opleidingsgeschiedenis, referenties en eerdere werkervaring. Samen biedt deze informatie cybercriminelen alles wat ze nodig hebben om gerichte phishingcampagnes uit te voeren, identiteitsfraude te plegen of individuele profielen te verkopen op darkweb-marktplaatsen.

Dit soort op HR gerichte aanvallen komt steeds vaker voor. Het datalek in het HR-systeem van Statistics South Africa volgde een opvallend vergelijkbaar patroon, waarbij aanvallers het interne personeelsbeheersysteem als doelwit kozen om personeelsdossiers te bemachtigen in plaats van klantgerichte systemen aan te vallen.

Waarom de Raad van Europa een hoogwaardig doelwit is voor ransomwaregroepen

Op het eerste gezicht lijkt een intergouvernementele organisatie die zich richt op mensenrechten misschien een ongebruikelijk doelwit voor ransomware. In de praktijk is het buitengewoon aantrekkelijk. De Raad van Europa heeft duizenden medewerkers in dienst, verspreid over zijn hoofdkantoor in Straatsburg en talrijke veldkantoren, waardoor de HR-databases vol zitten met persoonsgegevens. De institutionele prestige vergroot ook de pressiemiddelen van ransomwaregroepen: de reputatieschade van een datalek is groter voor een instantie waarvan het mandaat burgerrechten en gegevensbescherming omvat.

ShinyHunters heeft een goed gedocumenteerd patroon van het aanvallen van grote, zichtbare organisaties om de druk voor het betalen van losgeld te maximaliseren. Eerder dit jaar stelde de groep een openbaar ultimatum aan de Nederlandse telecomaanbieder Odido. Zoals beschreven in de berichtgeving over het datalek bij Odido waarbij 8 miljoen klanten werden getroffen, dreigde ShinyHunters gestolen klantgegevens openbaar te maken tenzij er losgeld werd betaald, waarmee het zijn bereidheid toonde om openbaarmaking als drukmiddel te gebruiken. Dezelfde strategie lijkt hier te worden toegepast.

Het datalek bij de Raad van Europa volgt op een eerdere, door ShinyHunters opgeëiste aanval op de cloudinfrastructuur van de Europese Commissie, waarbij naar verluidt meer dan 350 GB aan gegevens van het Europa.eu-platform betrokken was. Alles bij elkaar genomen wijzen deze incidenten erop dat de groep Europese instellingen tot een bewust doelwit van haar activiteiten in 2025 en 2026 heeft gemaakt.

De ironie van privacywaakhonden die er niet in slagen persoonsgegevens te beveiligen

De Raad van Europa is de instantie die verantwoordelijk is voor het Europees Verdrag voor de Rechten van de Mens en ziet toe op de kaders die lidstaten gebruiken voor gegevensbescherming en digitale privacy. Het is, met andere woorden, een instelling die de norm bepaalt voor hoe persoonsgegevens moeten worden behandeld en beschermd. De ironie dat juist deze instelling een datalek van deze omvang ondergaat, is moeilijk te negeren.

Dit is geen op zichzelf staande spanning. Grote instellingen hebben vaak een complexe, verouderde IT-infrastructuur, uitgestrekte leveranciersrelaties en personeelsgegevens die verspreid zijn over tientallen onderling verbonden systemen. Die structurele realiteit creëert aanvalsoppervlakken die werkelijk moeilijk te beheren zijn, ongeacht hoe sterk de privacybeloften van de organisatie op papier zijn. Het datalek illustreert dat goede beleidsintenties niet automatisch leiden tot goede operationele beveiliging.

Voor getroffen medewerkers zijn de gevolgen onmiddellijk en persoonlijk. Iedereen wiens loonstrook of cv zich tussen de meer dan 429.000 bestanden bevindt, loopt nu het risico dat zijn of haar financiële gegevens en identiteitsdocumenten worden blootgesteld. De verkoop van institutionele HR-gegevens op het darkweb, zoals te zien was bij de verkoop van klantgegevens van Iliad Italia, volgt vaak snel na datalekken, waardoor criminelen een gretige markt hebben voor de gestolen gegevens.

Hoe individuen zichzelf kunnen beschermen als instellingen tekortschieten

Wanneer een werkgever of instelling wordt getroffen door een datalek, hebben getroffen personen weinig controle over wat er is buitgemaakt. Maar er zijn concrete stappen die u kunt nemen om verdere blootstelling te beperken.

Houd uw financiële rekeningen nauwlettend in de gaten. Bankgegevens die in loonstroken worden blootgesteld, kunnen worden gebruikt voor directe fraude. Stel waarschuwingen in voor ongebruikelijke transacties en overweeg of een tijdelijke bevriezing van kredietaanvragen in uw rechtsgebied passend is.

Wees alert op spear-phishingpogingen. Aanvallers die uw cv en loonstrook hebben, kennen uw werkgever, salarisschaal en functietitel. Ze kunnen met die context zeer overtuigende nabootsingsmails opstellen. Behandel onverwachte berichten waarin om actie of inloggegevens wordt gevraagd met extra wantrouwen, zelfs als ze van collega's of HR lijken te komen.

Gebruik een VPN op openbare en gedeelde netwerken. Hoewel een VPN een inbreuk op de server niet voorkomt, beschermt het wel uw verkeer tegen onderschepping wanneer u op afstand portals van uw werkgever of gevoelige accounts bezoekt, waardoor één aanvalsvector voor het stelen van inloggegevens wordt verkleind.

Controleer of uw gegevens in datalekdatabases voorkomen. Diensten die bekende datalekdatasets monitoren, kunnen u waarschuwen als uw e-mailadres of andere identificatiegegevens opduiken in nieuw gepubliceerde datasets.

Vraag duidelijkheid bij uw werkgever. Als u medewerker of contractant van de Raad van Europa bent, dring dan aan op specifieke communicatie over welke dossiers zijn getroffen en welke herstelmaatregelen worden aangeboden.

Institutionele datalekken zoals deze herinneren ons eraan dat persoonlijke gegevenshygiëne juist het belangrijkst is wanneer de organisaties die uw gegevens bewaren, er niet in slagen deze te beschermen. Blootstellingscontrole, het beveiligen van uw accounts en alert blijven op social engineering zijn geen optionele extra's; ze zijn de basisreactie wanneer gegevens die u niet aan criminelen hebt gegeven, toch in hun handen vallen.

De escalerende aanvallen van ShinyHunters op Europese instellingen wijzen erop dat deze groep niet vertraagt. Op de hoogte blijven en proactieve stappen ondernemen voor uw eigen digitale veiligheid is de meest effectieve reactie voor individuen die in het kruisvuur terechtkomen.