Cơ quan Bảo vệ Dữ liệu Hà Lan (AP) và Hội đồng Tư pháp (Rvdr) đã xác nhận rằng các hệ thống của cả hai cơ quan này bị ảnh hưởng bởi các cuộc tấn công mạng khai thác các lỗ hổng bảo mật mới được tiết lộ trong Ivanti Endpoint Manager Mobile (EPMM), theo một thông báo gửi tới quốc hội nước này vào thứ Sáu.
"Vào ngày 29 tháng 1, Trung tâm An ninh Mạng Quốc gia (NCSC) đã được nhà cung cấp thông báo về các lỗ hổng trong EPMM," các nhà chức trách Hà Lan cho biết. "EPMM được sử dụng để quản lý các thiết bị di động, ứng dụng và nội dung, bao gồm cả bảo mật của chúng."
"Hiện đã xác định được rằng dữ liệu liên quan đến công việc của nhân viên AP, như tên, địa chỉ email công ty và số điện thoại, đã bị những đối tượng không được phép truy cập."
Diễn biến này xảy ra khi Ủy ban Châu Âu cũng tiết lộ rằng cơ sở hạ tầng trung tâm quản lý thiết bị di động của họ "đã phát hiện dấu vết" của một cuộc tấn công mạng có thể đã dẫn đến việc truy cập tên và số điện thoại di động của một số nhân viên. Ủy ban cho biết sự cố đã được kiểm soát trong vòng chín giờ và không phát hiện thấy bất kỳ sự xâm phạm nào đối với các thiết bị di động.
"Ủy ban đặc biệt coi trọng vấn đề an ninh và khả năng phục hồi của các hệ thống và dữ liệu nội bộ của mình và sẽ tiếp tục giám sát tình hình," bổ sung. "Ủy ban sẽ thực hiện mọi biện pháp cần thiết để đảm bảo an toàn cho các hệ thống của mình."
Mặc dù tên của nhà cung cấp đã được nêu rõ và không có chi tiết nào được chia sẻ về cách kẻ tấn công đã truy cập thành công, nhưng sự việc này được nghi ngờ có liên quan đến hoạt động độc hại khai thác các lỗ hổng trong Ivanti EPMM.
Nhà cung cấp công nghệ thông tin và truyền thông nhà nước của Phần Lan, Valtori, cũng tiết lộ một vụ vi phạm làm lộ thông tin liên quan đến công việc của tới 50.000 nhân viên chính phủ. Sự cố, được xác định vào ngày 30 tháng 1 năm 2026, đã nhắm mục tiêu vào một lỗ hổng zero-day trong dịch vụ quản lý thiết bị di động.
Cơ quan này cho biết họ đã cài đặt bản vá khắc phục vào ngày 29 tháng 1 năm 2026, cùng ngày Ivanti phát hành các bản sửa lỗi cho CVE-2026-1281 và CVE-2026-1340 (điểm CVSS: 9.8), mà kẻ tấn công có thể exploit để thực hiện RCE (thực thi mã từ xa) mà không cần xác thực. Ivanti đã tiết lộ rằng các lỗ hổng này đã bị exploit như các zero-days.
Kẻ tấn công được cho là đã truy cập vào các thông tin được sử dụng trong việc vận hành dịch vụ, bao gồm tên, địa chỉ email công việc, số điện thoại và chi tiết thiết bị.
"Các cuộc điều tra đã chỉ ra rằng hệ thống quản lý không xóa vĩnh viễn dữ liệu đã loại bỏ mà chỉ đánh dấu là đã xóa," cơ quan này cho biết. "Do đó, dữ liệu thiết bị và người dùng thuộc về tất cả các tổ chức đã sử dụng dịch vụ trong suốt vòng đời của nó có thể đã bị xâm phạm. Trong một số trường hợp, một thiết bị di động duy nhất có thể có nhiều người dùng."
