Wereldwijd lekken verkeerd geconfigureerde Mendix-applicaties gevoelige data

In dit artikel:

Het Dutch Institute for Vulnerability Disclosure (DIVD) waarschuwt dat wereldwijd honderden tot duizenden Mendix-applicaties verkeerd zijn geconfigureerd, waardoor gevoelige persoonsgegevens en andere vertrouwelijke data op internet toegankelijk zijn. Het gaat om applicaties van overheden, gemeenten, banken, zorginstellingen, hogescholen, e‑learningplatforms, autodealers en interne systemen. Volgens het DIVD is dit geen fout in Mendix zelf, maar een gevolg van onjuiste autorisatie-instellingen bij gebruikers van het low-code platform.

Onderzoekers vonden onder meer kopieën van 650.000 identiteitsbewijzen, toegankelijke medische dossiers, contractgegevens en financiële informatie die bekeken en zelfs aangepast konden worden. In één geval kon een betaalontvanger gewijzigd worden naar een eigen rekening. Inmiddels zijn meer dan tweeduizend verkeerd ingestelde systemen geïdentificeerd en het onderzoek loopt door; het aantal aangetroffen systemen zal waarschijnlijk oplopen. Organisaties wordt dringend geadviseerd direct de toegangs- en autorisatieinstellingen van hun Mendix-applicaties te controleren — zowel wat anonieme bezoekers zien als wat er beschikbaar wordt na inloggen — en waar nodig rechten te verscherpen en logging en tests uit te voeren.