Ingram Micro heeft meer dan zes maanden na een ransomware-aanval onthuld hoeveel mensen zijn getroffen. Het datalek heeft meer dan 42.000 personen geraakt, waaronder werknemers en sollicitanten, van wie de persoonlijke gegevens tussen 2 juli en 3 juli 2025 zijn gestolen. De IT-distributeur ontdekte op 3 juli 2025 dat een ongeautoriseerde partij bestanden had gestolen uit interne systemen. Het bedrijf ging offline en startte onmiddellijk een onderzoek met cybersecurityexperts. Systemen werden proactief offline gehaald en de politie werd ingeschakeld. De gestolen gegevens bevatten gevoelige informatie zoals namen, contactgegevens, geboortedata en door de overheid uitgegeven identificatienummers, zoals sofinummers, rijbewijsnummers en paspoortnummers. Ook werkgerelateerde informatie zoals functioneringsgesprekken was onderdeel van de gestolen data. Welke specifieke gegevens per persoon zijn getroffen, verschilt.

De aanval werd uitgevoerd door de SafePay ransomware-groep, een relatief nieuwe maar snelgroeiende cybercriminele organisatie. SafePay claimde 3,5 terabyte aan data te hebben gestolen en plaatste Ingram Micro op hun darknet-site. De groep had in mei 2025 al 70 aanvallen op haar naam staan, goed voor 18 procent van alle gemeten compromissen die maand. De aanvallers gebruikten naar eigen zeggen GlobalProtect, de VPN-oplossing van Ingram Micro, als toegangspoort. Het bedrijf zou beveiligingsconfiguraties onvolledig hebben geïmplementeerd, waardoor de criminelen de tijd hadden om in de systemen rond te kijken. Voor getroffen medewerkers en sollicitanten biedt Ingram Micro twee jaar gratis creditmonitoring en identiteitsbeschermingsdiensten aan. Het bedrijf adviseert getroffenen om alert te blijven door bankafschriften te controleren en gebruik te maken van gratis kredietrapporten. De aanval had destijds grote gevolgen. Ingram Micro was meerdere dagen volledig onbereikbaar, waardoor managed service providers wereldwijd geen toegang hadden tot essentiële software- en hardwarelicenties. Kritieke back-uplicenties waren ontoegankelijk, waardoor veel MSP's hun klanten niet konden bedienen. De communicatie van Ingram Micro was volgens klanten destijds onvoldoende. Lange wachttijden voor ondersteuning en alleen automatische e-mailantwoorden zorgden voor frustratie. Pas na drie dagen bevestigde het bedrijf dat de externe toegang was afgesloten en begon het geleidelijk met herstel. Het bedrijf maakt nu via een brief, ruim een half jaar later, de exacte impact bekend. De meldingsbrief dateert van 16 januari 2026, terwijl de aanval in juli 2025 plaatsvond. Voor getroffen medewerkers betekent dit dat ze maanden in onzekerheid hebben gezeten over de precieze gevolgen. Ingram Micro heeft aangegeven dat het volgens het huidige beveiligingsbeleid dergelijke aanvallen zou kunnen voorkomen. Het bedrijf heeft extra beveiligings- en monitoringmaatregelen geïmplementeerd. Of het daadwerkelijk losgeld heeft betaald aan SafePay, heeft Ingram Micro niet bekendgemaakt.