De beruchte ransomwaregroep Qilin heeft de verantwoordelijkheid opgeëist voor een inbreuk die de Kerk van Scientology treft. De groep verklaarde interne documenten te hebben verkregen en voorbeeldbestanden op haar website te hebben vrijgegeven. De organisatie heeft de inbreuk niet bevestigd. In dit stadium is de bewering nog niet geverifieerd en is er geen onafhankelijk bewijs dat de door de aanvallers geplaatste gegevens authentiek zijn.
De ransomwaregroep Qilin beweert toegang te hebben gehad tot interne systemen van de Kerk van Scientology en een set voorbeeldbestanden vrijgegeven. De groep publiceerde 22 documenten waarvan ze zeiden dat ze afkomstig waren van een in het Verenigd Koninkrijk gevestigde vestiging. Het materiaal bevat interne financiële gegevens, administratieve formulieren, lidgerelateerde papieren en visumdocumenten voor religieuze werkers. De Kerk van Scientology heeft de inbreuk niet bevestigd en de authenticiteit van de gelekte dossiers is niet door onafhankelijke onderzoekers bevestigd.
Volgens de groep zijn de gelekte items meegenomen tijdens een recente inbraak waarbij systemen betrokken zijn die administratieve en operationele informatie opslaan. De documenten die als bewijs worden gepresenteerd, omvatten financieringsaanvragen voor religieuze werkersvisa, begrotingsoverslagen, facturatiegegevens, uitgavenlijsten gerelateerd aan evenementen en interne organisatieschema’s. Sommige van de items lijken lidmaatschapsverwerking of upgradeverzoeken te betreffen. Analisten die de openbaar geplaatste monsters bekeken, zeiden dat de documenten lijken op interne administratieve papieren, maar merkten op dat bevestiging forensische analyse vereist. Op dit moment is er geen officiële aanwijzing dat de datasets accuraat, compleet of actueel zijn.
Onderzoekers zeiden dat Qilin vaak verantwoordelijkheid opeist voor spraakmakende incidenten en vaak de eerste datasamples gebruikt om druk uit te oefenen op slachtoffers. Ze voegden eraan toe dat de groep regelmatig organisaties richt die grote hoeveelheden persoonlijke of financiële gegevens beheren. De vermeende aanval op de Scientology-kerk zou binnen dit patroon vallen, maar is nog niet ondersteund door technische bevindingen buiten de eigen verklaringen van de groep.
Qilin gebruikt een ransomware-als-een servicemodel. De aangesloten partijen voeren aanvallen uit en delen de losgeldopbrengsten met de exploitanten. De groep verscheen voor het eerst in 2022 en heeft zijn activiteiten uitgebreid naar verschillende regio’s. Beveiligingsrapporten uit 2024 en 2025 tonen activiteiten die zorgverleners, productiebedrijven, onderwijsinstellingen en overheidsdiensten treffen. De groep staat bekend om het vertrouwen op dubbele afpersing. Dit houdt in dat je gegevens steelt, gecombineerd met pogingen om systemen ontoegankelijk te maken. Slachtoffers krijgen vervolgens te horen dat gestolen gegevens zullen worden gepubliceerd als aan de eisen niet wordt voldaan.
Onderzoekers zeiden dat Qilin-filialen vaak aanvallen beginnen via gecompromitteerde inloggegevens, kwetsbaarheden in remote access-systemen of zwakke plekken in tools van derden. Eenmaal binnen een netwerk verzamelen aanvallers informatie, proberen ze zich lateraal te bewegen en data te extraheren. Ze kunnen beschermende controles of back-ups uitschakelen voordat bestandsversleuteling wordt geactiveerd. De verspreiding van deze methode heeft het aantal risicovolle organisaties vergroot, waaronder non-profitgroepen en religieuze instellingen die gedetailleerde interne administratie bijhouden.
Als de Qilin-claim over de Scientologykerk klopt, kan de gelekte informatie persoonlijke identificatiegegevens, financiële gegevens en gevoelige organisatiegegevens bevatten. Blootstelling van visumdocumenten en lidmaatschapsgegevens kan individuen blootstellen aan identiteitsdiefstal of gerichte fraude. Interne financiële of organisatorische documenten kunnen vertrouwelijke procedures onthullen die niet bedoeld zijn voor publieke vrijgave. Analisten zeiden dat lekken van religieuze of non-profitorganisaties vaak extra gevoeligheden veroorzaken omdat ze privé-lidgerelateerde informatie kunnen betreffen die normaal gesproken beschermd is onder privacy- of organisatieregels.
Cybersecurity-experts zeiden dat organisaties die gevoelige interne gegevens beheren strikte toegangscontroles, regelmatige audits en sterke segmentatie tussen administratieve en operationele systemen nodig hebben. Zij merkten op dat groepen zoals Qilin vaak gebieden exploiteren waar legacy-systemen samenkomen met moderne communicatie- of documentverwerkingstools. Zonder regelmatige controle kunnen deze systemen kwetsbaar worden voor diefstal of inbraak van inloggegevens.
De Scientologykerk heeft geen openbare verklaring afgelegd over de vermeende inbreuk. Verzoeken om commentaar werden gemeld, maar er was op het moment van het bericht nog geen reactie gedeeld. Het ontbreken van bevestiging betekent dat de omvang en nauwkeurigheid van het lek onduidelijk blijven. Analisten zeiden dat een voorzichtige interpretatie noodzakelijk is totdat een formeel onderzoek of beoordeling van derden bevestigt of er ongeoorloofde toegang heeft plaatsgevonden. In eerdere incidenten met andere organisaties varieerden voorbeeldbestanden die door dreigingsgroepen werden vrijgegeven van accuraat tot misleidend of onvolledig.
Personen die denken dat ze mogelijk zijn getroffen, dienen te letten op verdachte berichten of pogingen om persoonlijke informatie te verkrijgen. Beveiligingsadviseurs raden aan om wachtwoorden voor relevante accounts bij te werken, waar mogelijk tweefactorauthenticatie in te schakelen en alert te blijven op onverwachte communicatie met betrekking tot interne gegevens.
Om grootschalige inbraken van dit type aan te pakken, raden experts aan om de netwerkarchitectuur te herzien, strengere procedures voor credentialbeheer te implementeren en zorgvuldig toezicht te houden op remote access-systemen. Regelmatige beoordeling van logging en monitoring kan de detectie van inbraakpogingen in een vroeg stadium verbeteren. Organisaties die persoonsgegevens verwerken, kunnen ook verplicht zijn toezichthouders te informeren als datalekken worden bevestigd.
De vermeende aanval weerspiegelt de uitbreiding van doelen die door ransomwaregroepen zijn geselecteerd. Hoewel commerciële entiteiten de meest voorkomende slachtoffers blijven, slaan religieuze en non-profitorganisaties steeds vaker grote datasets op die waardevol kunnen zijn voor aanvallers. Totdat onafhankelijke verificatie beschikbaar is, blijft het incident een onbevestigde claim op basis van materiaal dat door de groep is geplaatst.