Ingram Micro heeft ruim zes maanden na een ransomware-aanval bekendgemaakt hoeveel mensen getroffen zijn. Het datalek trof meer dan 42.000 individuen, waaronder werknemers en sollicitanten, wier persoonsgegevens werden gestolen tussen 2 juli en 3 juli 2025.
De IT-distributeur ontdekte op 3 juli 2025 dat een ongeautoriseerde derde partij bestanden had gestolen uit interne opslagsystemen. Het bedrijf ging die dag offline en startte direct een onderzoek met cybersecurityexperts. Ook werden systemen proactief offline gehaald en werd de politie ingeschakeld.
De gestolen data bevat gevoelige informatie zoals namen, contactgegevens, geboortedatums en door de overheid uitgegeven identificatienummers. Denk daarbij aan sofinummers, rijbewijsnummers en paspoortnummers. Ook werkgerelateerde informatie zoals functioneringsgesprekken maakte deel uit van de buit. Welke specifieke data per persoon is getroffen, verschilt.
SafePay ransomware-groep eiste verantwoordelijkheid
De aanval werd uitgevoerd door de SafePay ransomware-groep, een relatief jonge maar snelgroeiende cybercriminele organisatie. SafePay claimde 3,5 terabyte aan data te hebben gestolen en zette Ingram Micro op hun darknet-site. De groep telde in mei 2025 al 70 aanvallen op haar naam, goed voor 18 procent van alle gemeten compromissen in die maand.
De aanvallers gebruikten volgens eigen zeggen GlobalProtect, de VPN-oplossing van Ingram Micro, als toegangsroute. Het bedrijf zou beveiligingsconfiguraties onvolledig hebben geïmplementeerd, waardoor de criminelen ruim de tijd hadden om rond te kijken in de systemen.
Voor getroffen medewerkers en sollicitanten biedt Ingram Micro twee jaar gratis creditmonitoring en identiteitsbeschermingsdiensten aan. Het bedrijf raadt getroffenen aan om waakzaam te blijven door bankafschriften te controleren en gebruik te maken van gratis kredietrapporten.
Maanden stilte na grote impact
De aanval had destijds grote gevolgen. Ingram Micro was meerdere dagen volledig onbereikbaar, waarbij managed service providers wereldwijd geen toegang hadden tot essentiële software- en hardwarelicenties. Kritieke backup-licenties waren ontoegankelijk, waardoor veel MSP’s hun klanten niet konden bedienen.
De communicatie van Ingram Micro schoot volgens klanten destijds tekort. Lange wachtrijen voor ondersteuning en slechts automatische e-mailantwoorden zorgden voor frustratie. Pas na drie dagen bevestigde het bedrijf dat de externe toegang was afgewimpeld en begon het geleidelijk met herstel.
Het bedrijf maakt nu via een brief, ruim een half jaar later, de exacte impact bekendmaakt. De meldingsbrief dateert van 16 januari 2026, terwijl de aanval in juli 2025 plaatsvond. Voor getroffen medewerkers betekent dit dat ze maanden in onzekerheid hebben gezeten over de precieze gevolgen.
Ingram Micro heeft aangegeven dat het volgens het huidige securitybeleid dergelijke aanvallen zou kunnen voorkomen. Het bedrijf heeft extra security- en monitoringmaatregelen geïmplementeerd. Of het daadwerkelijk losgeld heeft betaald aan SafePay, heeft Ingram Micro niet bekendgemaakt.