Cybercriminelen hebben sinds februari 2026 op massale schaal wachtwoorden van computernetwerken buitgemaakt. Dit gebeurde via een hack op de Fortinet-partnerportal, een centraal platform waar it-serviceproviders inloggen om de netwerken van hun klanten te beheren. Dit is een klassieke supplychain-aanval: via één centraal punt worden honderden klanten tegelijk getroffen.
Onderzoek van beveiligingsbedrijf Secutec en SOCRadar, een specialist in darknet monitoring, toont aan dat minstens 270 Belgische organisaties zijn getroffen.
Het incident, genaamd FortiBleed, wordt als een van de grootste beveiligingsinbreuken in de geschiedenis van een beveiligingsleverancier beschouwd. Wereldwijd zijn minstens 75.000 firewalls gecompromitteerd.
Eén breuk, vele klanten getroffen
De aanval werkt als volgt: criminelen hebben een kwetsbaarheid in de Fortinet-partnerportal uitgebuit en toegang gekregen tot de inloggegevens van tientallen duizenden it-partners. Elke it-partner beheert de netwerken van tientallen of honderdtallen klanten. Dit betekent dat één centraal gat direct leidt tot inbraken in honderden bedrijfsnetwerken tegelijk.
In België zijn juridische bureaus, lokale overheden, scholen en dienstverleners getroffen. Onderzoek door Secutec heeft uitgewezen dat van de 270 gekraakte ‘Belgische’ firewalls er 110 op het ogenblik van het onderzoek nog via het internet toegankelijk waren met de onderschepte administratorrechten.
Waar ransomware-aanvallen vroeger vooral gericht waren op het versleutelen van data, verschuift de focus nu naar het stelen en verhandelen van toegang en gegevens. ‘Dat omschrijven wij als initial access brokerage’, stelt Baudewijns. ‘In België werden op minstens 45 systemen al nieuwe accounts aangemaakt door de hackers, wat erop wijst dat toegang wordt voorbereid voor verkoop op het dark web.’
Basismaatregelen ontbreken
De operatie wordt gelinkt aan een Russische hackersgroep en wordt gekarakteriseerd als ‘opmerkelijk goed georganiseerd’.
Criminelen gebruiken software genaamd FortigateSniffer die al het verkeer door de firewall kan monitoren. Dit stelt hen in staat om inloggegevens van alle mogelijke systemen en diensten uit te kijken. Die gestolen gegevens worden vervolgens gebruikt om dieper in netwerken door te dringen.
Het onderzoek toont aan dat veel Belgische organisaties eerder nonchalant zijn inzake beveiliging. Op geen enkel van de onderzochte systemen was meervoudige verificatie (dubbele-stap-verificatie) ingeschakeld, intussen een standaard beveiligingsmaatregel. 85 procent van de firewalls draait niet op de nieuwste softwareversie, ondanks dat updates al maanden beschikbaar zijn.
It-serviceproviders gebruiken ook veel te vaak dezelfde wachtwoorden voor meerdere klanten. Dit betekent dat één gestolen wachtwoord direct toegang oplevert tot netwerken van tientallen klanten tegelijk.
Baudewijns verwacht dat dergelijke grootschalige ketenaanvallen alleen zullen toenemen. ‘FortiBleed toont aan hoe afhankelijk we zijn geworden van centralisatie in it-services. Eén breuk kan honderden organisaties tegelijk rampen.’
