Een Amerikaans administratiebedrijf onderzoekt rapporten waarin een crimineel actor beweert toegang te hebben gehad tot interne systemen en gevoelige klantgegevens, volgens beveiligingsonderzoekers die vermeende datalekken in bedrijfsnetwerken volgen. Het incident betreft Iron Mountain Incorporated, dat diensten levert voor gegevensopslag, informatiebeheer en beveiligd versnipperen aan overheids-, bedrijfs- en zorgklanten. Cybercrime monitoring services plaatsten de organisatie op 5 februari 2026 op een dark web-leksite, met de mededeling dat gestolen bestanden interne en klantinformatie bevatten.
De gegevens die op het lekplatform werden geplaatst, werden toegeschreven aan een onbekende dreigingsactor die zei dat het meer dan 5 GB aan gecomprimeerde bestanden bevatte die uit Iron Mountain-systemen waren gestolen. De lijst van vermeende bestanden die online circuleren bevat mappen die naar verluidt gekoppeld zijn aan interne documentatie, contracten en administratieve dossiers. Beveiligingsonderzoekers benadrukken dat advertenties op dark websites vaak niet onafhankelijk kunnen worden geverifieerd en mogelijk verzonnen claims bevatten die bedoeld zijn om organisaties onder druk te zetten om losgeld te betalen of aandacht te trekken zonder bewijs van toegang.
Iron Mountain zei in een verklaring dat het gepubliceerde claims heeft gezien over een mogelijke inbreuk in haar systemen, maar dat de teams van het bedrijf geen compromittering van hun infrastructuur, klantsystemen of data hebben bevestigd. De organisatie zei dat zij de zaak onderzoekt met externe cybersecurityspecialisten en haar netwerken voortdurend monitort. Iron Mountain voegde eraan toe dat het niet gelooft dat er een impact is geweest op klantomgevingen of operaties.
Het bedrijf exploiteert een reeks diensten voor gegevensbescherming, waaronder opslag van fysieke gegevens, veilige gegevensvernietiging, cloud-back-upoplossingen en digitale informatiebeheertools. Het bedient cliënten uit sectoren zoals gezondheidszorg, juridische zaken en de overheid, waarvan vele gereguleerde of gevoelige persoonlijke informatie verwerken.
Cybersecurity-analisten merkten op dat criminele actoren vaak ongeverifieerde claims van geëxfiltreerde data publiceren en fragmenten van veelvoorkomende bestandsnamen of generieke documenttypes opnemen om berichten geloofwaardig te laten lijken. Onafhankelijke onderzoekers en incidentresponsprofessionals waarschuwen dat gepubliceerde datalekclaims kritisch moeten worden onderzocht totdat een organisatie bevestigt of de systemen zijn benaderd en welke informatie mogelijk is getroffen.
Er is tot begin februari 2026 geen openbare bekendmaking geweest van slachtoffermeldingen of regelgevende documenten die verband houden met Iron Mountain in verband met het vermeende incident. De autoriteiten hebben geen betrokkenheid bij de zaak gemeld en het onderzoek van het bedrijf loopt nog steeds. Iron Mountain zei dat het updates zal geven als er verder bewijs van een bevestigde inbreuk naar voren komt.