Groot alarm om configuratiefouten Mendix

Het gaat nadrukkelijk niet om een technisch lek in de software van Mendix zelf, maar om verkeerd ingestelde autorisaties door de organisaties die het platform gebruiken. De impact is enorm: van zorginstellingen en banken tot overheden en hogescholen.

"Binnen vijf minuten toegang"

De onderzoekers van het DIVD schetsen een onthutsend beeld van de kwetsbaarheid. Door fouten in de toegangsrechten kunnen onbevoegden – vaak zonder zelfs maar in te loggen – bij zeer gevoelige informatie komen.

In één buitenlandse applicatie werden bijvoorbeeld 650.000 identiteitsbewijzen aangetroffen. In een andere casus, een financieel platform, slaagden onderzoekers erin om bankrekeningnummers van ontvangers te wijzigen. "Zoiets zouden we nooit doen, maar het kan wel," aldus de onderzoekers.

"Binnen vijf minuten hebben we toegang tot data die niet toegankelijk hoort te zijn," zegt Jelle Ursem, researcher bij het DIVD.

Topje van de ijsberg

Het onderzoek loopt nog, maar het DIVD heeft besloten nu al naar buiten te treden vanwege de ernst van de zaak. "De schaal is vele malen groter dan eerdere individuele datalekken die we in Nederland hebben gezien," stelt het instituut. Ter vergelijking: waar recente grote lekken vaak één organisatie betroffen, gaat het hier om duizenden systemen tegelijkertijd.

Onder de getroffen organisaties bevinden zich:

• Overheden en gemeenten
• Banken en financiële instellingen
• Zorginstellingen
• Onderwijsinstellingen (hogescholen en e-learning platformen)

Controleer ook de 'achterkant'

De waarschuwing richt zich niet alleen op anonieme bezoekers. Een veelvoorkomend probleem is dat een bezoeker die wel inlogt (bijvoorbeeld door zelf een account aan te maken op een portaal) direct toegang krijgt tot de volledige database.

Jeroen Ellermeijer, Head of Research bij DIVD, uit zijn zorgen over de geschiedenis van deze systemen: "Ik ben er bang voor dat deze gegevens al lang gelekt zijn. Fix het niet alleen, maar check ook je logging. En verder: niet lullen maar patchen."

Dringend advies aan Mendix-gebruikers

Het DIVD adviseert elke organisatie die Mendix gebruikt – zowel voor interne als externe toepassingen – om direct actie te ondernemen:

1. Audit de autorisatie-instellingen: Controleer welke rollen toegang hebben tot welke data (entiteiten).
2. Gebruik scan-tools: Tools zoals Menscan.io en MendixHunter zijn beschikbaar gesteld om snel te controleren of een applicatie openstaat voor onbevoegden.
3. Check de logging: Kijk terug in de tijd of er ongebruikelijke data-opvragingen hebben plaatsgevonden. Het dichten van het lek is namelijk geen garantie dat de data nog niet gestolen is.
4. Implementeer security.txt: Zorg dat beveiligingsonderzoekers weten hoe ze contact met u moeten opnemen bij verdere vondsten.

Het onderzoek wordt uitgevoerd in samenwerking met het Nationaal Cyber Security Centrum (NCSC) en internationale zusterorganisaties om de schade wereldwijd te beperken. Mendix heeft inmiddels een officiële advisory gepubliceerd met gedetailleerde stappen voor herstel.