🛡️ KENSAI Dagelijks Beveiligingsonderzoek
Inhoud
🔓 Grote Datalekken
Werknemersgegevens HackerOne Blootgesteld bij Navia-inbreuk
HackerOne bevestigde dat persoonlijke informatie van honderden werknemers is gestolen bij een inbreuk op benefitprovider Navia. Gevoelige PII waaronder namen, adressen en uitkeringsgegevens werden geëxfiltreerd. De ironie dat werknemers van een bug bounty-platform worden getroffen door een inbreuk bij een derde partij onderstreept het risico van de toeleveringsketen.
Zelfs bedrijven die security voorop stellen, worden blootgesteld via hun leveranciersketen. NIS2 Artikel 21 vereist expliciet beoordelingen van de beveiliging van de toeleveringsketen. KENSAI's third-party risk scanning detecteert deze hiaten.
LeakBase-beheerder Gearresteerd in Rusland — 147K Gebruikers, Honderden Miljoenen Records
De Russische autoriteiten hebben de beheerder van het cybercrimeforum LeakBase gearresteerd in Taganrog. Het platform bevatte honderden miljoenen gestolen gebruikersaccounts, bankgegevens, gebruikersnamen, wachtwoorden en bedrijfsdocumenten. Meer dan 147.000 geregistreerde gebruikers konden deze gegevens kopen en verkopen sinds 2021.
Nederlands Ministerie van Financiën Onderzoekt Cyberinbreuk
Het Nederlandse Ministerie van Financiën onderzoekt een cyberinbreuk op interne systemen. Details blijven beperkt, maar de inbreuk trof kritieke overheidsinfrastructuur. Tegelijkertijd onthulde Crunchyroll (anime-streaming) een hack waarbij klantenserviceticketgegevens werden gestolen, en meldde Kaplan (onderwijs) een datalek dat meer dan 230.000 personen treft.
Inbreuken bij EU-overheden versnellen de handhavingstijdlijn van NIS2. DACH-organisaties moeten dit beschouwen als een voorproefje van verscherpt regelgevend toezicht in 2026.
🚨 Kritieke Kwetsbaarheden
Citrix NetScaler — CitrixBleed3 op Komst
Citrix heeft met spoed twee kwetsbaarheden gepatcht in NetScaler ADC en NetScaler Gateway. Eén fout is "zeer vergelijkbaar" met de beruchte CitrixBleed- en CitrixBleed2-kwetsbaarheden die als zero-days werden misbruikt. Citrix dringt aan op onmiddellijke patching — verwacht PoC-exploits binnen enkele dagen.
CitrixBleed leidde tot enkele van de grootste datalekken van 2023-2024. Organisaties die NetScaler draaien moeten NU patchen. KENSAI's externe scan detecteert blootgestelde NetScaler-instanties en versie-fingerprints.
TP-Link Archer NX — Kritieke Authenticatie-bypass
TP-Link heeft een kritieke authenticatie-bypass-kwetsbaarheid gepatcht in de Archer NX-routerserie waarmee aanvallers de authenticatie volledig konden omzeilen en kwaadaardige firmware konden uploaden. Gezien het nieuwe FCC-verbod op in het buitenland gemaakte routers, vergroot dit de zorgen over de beveiliging van de toeleveringsketen van routers.
PolyShell — Massale Exploitatie van Magento/Adobe Commerce
Actieve exploitatie van de "PolyShell"-kwetsbaarheid treft 56% van alle kwetsbare Magento Open Source- en Adobe Commerce-winkels. Aanvallers deployen web shells op grote schaal. E-commercebedrijven die Magento 2 draaien moeten onmiddellijk patchen of riskeren volledige sitecompromittering en diefstal van betalingsgegevens.
Apple iOS/macOS 26.4 — Beveiligingsupdates voor het Hele Ecosysteem
Apple heeft beveiligingspatches uitgebracht voor iOS, macOS en iPadOS, inclusief patches voor oudere apparaten (iOS 18.7.7, macOS Sequoia 15.7.5, macOS Sonoma 14.8.5). Meerdere WebKit- en kernel-kwetsbaarheden zijn verholpen.
💀 Ransomware-aanvallen
Haven van Vigo (Spanje) — Maritieme Operaties Verstoord
Een ransomware-aanval dwong de Spaanse Haven van Vigo om systemen los te koppelen en over te schakelen op handmatig ladingbeheer. De aanval werd dinsdagochtend gedetecteerd, waarbij servers werden vergrendeld en losgeld werd geëist. De havenvoorzitter verklaarde: "We herstellen de verbindingen pas als er absolute garanties zijn." Geen groep heeft de verantwoordelijkheid opgeëist. Scheepsbewegingen gaan door, maar de logistieke coördinatie is verlamd.
Aanvallen op havens nemen toe — Nagoya (2023), nu Vigo (2026). Onder NIS2 zijn havens "essentiële entiteiten" die verplicht incidenten moeten melden binnen 24 uur. EU-havenautoriteiten hebben continu beveiligingsmonitoring nodig.
Stryker (Medische Apparatuur) — Productielijnen Weer Operationeel na Malware-aanval
Fabrikant van medische apparatuur Stryker bevestigde de betrokkenheid van malware bij een recente cyberaanval die productielijnen stillegde. De operaties worden nu hervat. De aanval benadrukt de aanhoudende targeting van toeleveringsketens in de gezondheidszorg en medische productie.
Russische Ransomware-operators Veroordeeld in de VS
Ilya Angelov (TA551/Shathak) — 2 jaar + $100K boete voor het beheren van een botnet dat werd gebruikt in ransomware-campagnes (2017-2021). Aleksei Volkov — 81 maanden (6,75 jaar) voor zijn rol als access broker bij Yanluowang ransomware-aanvallen. Het Amerikaanse DoJ blijft Russische cybercriminelen vervolgen met extraterritoriale reikwijdte.
🔧 Beveiligingstool Releases
Kali Linux 2026.1 — 8 Nieuwe Tools + BackTrack-modus
De eerste release van het jaar brengt 8 nieuwe beveiligingstools, een visuele thema-update en een nieuwe "BackTrack-modus" voor Kali-Undercover. Een vleugje nostalgie gecombineerd met praktische pentesting-updates.
GitHub — AI-gestuurde Codebeveiligingsscanning
GitHub breidt zijn Code Security-tool uit voorbij CodeQL met AI-gebaseerde kwetsbaarheidsdetectie. De nieuwe scanning dekt meer talen en frameworks, waardoor de drempel voor beveiligingsbewuste ontwikkeling wordt verlaagd. Dit brengt SAST dichter bij de reguliere ontwikkelaarsworkflows.
AI-gestuurde SAST wordt standaard. KENSAI's concurrentievoordeel: het combineren van SAST met DAST, externe scanning en NIS2-compliance in één platform — niet alleen detectie op codeniveau.
Onit Security — $11M Opgehaald voor Exposure Management
Onit Security haalde $11M op voor de bouw van hun exposure management-platform. De investering is gericht op productontwikkeling en GTM-uitbreiding naar nieuwe sectoren. Dit signaleert aanhoudende VC-interesse in attack surface management ondanks marktconsolidatie.
⚡ Opkomende Dreigingspatronen
Escalatie Supply Chain-compromittering — TeamPCP Treft LiteLLM, Docker Hub, VS Code, PyPI
De dreigingsactor TeamPCP (achter de Trivy/KICS-compromitteringen) heeft nu backdoors geplaatst in LiteLLM-versies 1.82.7–1.82.8 via een CI/CD-pipelinecompromittering. De payload is een drietrapsaanval: credential harvesting (SSH-sleutels, cloud-credentials, K8s-secrets), lateral movement toolkit en persistente backdoor. Ze hebben ook Docker Hub, de VS Code-marketplace en NPM getroffen — en werken naar verluidt samen met Lapsus$.
Dit is de meest significante OSS supply chain-aanval van 2026 tot nu toe. CI/CD-pipelinecompromittering → paketvergiftiging op grote schaal. Organisaties moeten pakketintegriteit verifiëren en versies vastpinnen. SBOM-scanning is niet langer optioneel.
Device Code Phishing — 340+ Microsoft 365-organisaties Gecompromitteerd
Een massale device code phishing-campagne richt zich op M365-identiteiten bij meer dan 340 organisaties in de VS, Canada, Australië, Nieuw-Zeeland en Duitsland. Maakt gebruik van Cloudflare Workers + Railway PaaS voor credential harvesting. Misbruikt de OAuth device authorization-flow om tokens te stelen die wachtwoordresets overleven. Getroffen sectoren: bouw, gezondheidszorg, juridisch, overheid, financiële dienstverlening.
Duitsland staat expliciet vermeld als doelland. DACH-organisaties die M365 gebruiken moeten onmiddellijk OAuth device code-beleid auditen. Conditional Access-beleid moet de device code-flow blokkeren waar deze niet nodig is.
GlassWorm — Solana Blockchain als C2 Dead Drop
De GlassWorm-campagne gebruikt nu Solana blockchain-memo's als dead drop-resolvers voor C2-communicatie. Implementeert een Chrome-extensie vermomd als Google Docs Offline, die toetsaanslagen registreert, cookies/sessies dumpt, screenshots maakt en 728+ crypto-wallets target. Verspreidt zich via vergiftigde pakketten op npm, PyPI, GitHub en de VS Code-marketplace.
AI-agents als Aanvalsoppervlak — "De Kill Chain is Achterhaald"
Beveiligingsonderzoekers waarschuwen dat AI-agents met systeemtoegang een fundamenteel nieuw dreigingsmodel vormen. In tegenstelling tot traditionele kill chains waarbij aanvallers stap voor stap toegang moeten verdienen, hebben gecompromitteerde AI-agents al permissies, toegang en legitieme redenen om door systemen te navigeren. PwC en SANS bevestigen beide dat AI de snelheid en schaal van aanvallen versnelt, waarbij identiteitsdiefstal evolueert tot een "cybercriminele toeleveringsketen". Gestolen premium AI-accounts zijn nu populaire handelswaar op underground-markten.
SecurityWeek publiceerde een artikel over agentic AI-governance met verwijzing naar OpenClaw. Het AI-als-dreigingsoppervlak-narratief is KENSAI's contentkans — we moeten dit gesprek beheersen in de DACH-markt.
📋 Beleid & Regelgeving
FCC Verbiedt in het Buitenland Gemaakte Consumentenrouters
De FCC heeft alle nieuwe consumentenrouters die buiten de VS zijn geproduceerd verboden, met verwijzing naar risico's voor de nationale veiligheid. In lijn met de bepaling van het Witte Huis dat alle in het buitenland geproduceerde routers onaanvaardbare dreigingen vormen. Grote gevolgen voor TP-Link, Huawei en andere buitenlandse fabrikanten.
Waarnemend Hoofd CISA: Shutdown Vergroot Cyberrisico's en Veroorzaakt Vertrek
De waarnemend directeur van CISA waarschuwde dat de aanhoudende dynamiek van de overheidssluiting de cyberbeveiligingsrisico's vergroot en problemen met personeelsbehoud veroorzaakt. De cyberbeveiligingshouding van de Amerikaanse overheid blijft verslechteren naarmate ervaren personeel vertrekt.
UK NCSC: "Vibe Coding" Kan Beveiligingsrisico's Toevoegen aan de SaaS-industrie
Het Britse National Cyber Security Centre waarschuwde dat de "vibe coding"-trend — het gebruik van AI om volledige applicaties te genereren — de SaaS-industrie kan hervormen en tegelijkertijd aanzienlijke beveiligingsrisico's introduceert. Door AI gegenereerde code mist vaak goede inputvalidatie, authenticatiecontroles en veilige standaardinstellingen.