Misconfiguraties bieden open deur tot gevoelige gegevens
Geen kwetsbaarheid, maar wel een open deur
Bij een misconfiguratie is er geen technische kwetsbaarheid die gepatcht kan worden. De functionaliteit werkt precies zoals bedoeld alleen is de toegang verkeerd ingeregeld, waardoor gebruikers of kwaadwillenden meer gegevens kunnen inzien of opvragen dan de bedoeling is.
Denk aan gastgebruikers die te ruime rechten hebben gekregen, een API die zonder authenticatie bereikbaar is of een standaardconfiguratie die na inrichting nooit is aangescherpt. Het zijn instellingen die grote gevolgen kunnen hebben.
Organisaties zetten steeds vaker SaaS-platformen in en gebruiken low-code-omgevingen om snel applicaties te ontwikkelen. Low-code platformen stellen gebruikers in staat om op visuele wijze code in elkaar te zetten waardoor het mogelijk is om applicaties te ontwikkelen zonder diepe kennis van programmeertalen. Volgens onderzoek van Cloud Security Alliance(1) worstelt 58% van de organisaties met het op een juiste manier inregelen van toegang en rechten bij SaaS-applicaties. Organisaties gebruiken gemiddeld meer dan 100 SaaS-applicaties(2). Dat is een flink aanvalsoppervlak.
Recente incidenten
Eind 2025 en begin 2026 werd door kwaadwillenden misbruik gemaakt van verkeerd geconfigureerde Salesforce Experience Cloud-omgevingen(3), waarna ze de buitgemaakte data misbruikten om organisaties af te persen. De kwaadwillenden richtten zich op omgevingen waarbij gastgebruikers te ruime rechten hadden gekregen. Hierdoor was data zonder authenticatie opvraagbaar via de Salesforce Aura API. Salesforce bevestigde dat het niet om een kwetsbaarheid in het platform gaat, maar om configuratiefouten bij klanten. Op 12 januari 2026 publiceerde Mandiant de tool AuraInspector, bedoeld om Salesforce-beheerders te helpen bij het opsporen van dit type configuratiefouten. Kort daarna werd bekend dat kwaadwillenden een aangepaste versie van de tool misbruikten. De groep claimde tussen de 300 en 400 organisaties te hebben getroffen.
Eind 2025 startte DIVD (Dutch Institute for Vulnerability Disclosure) een onderzoek(4) naar autorisatiemisconfiguraties in applicaties gebouwd op het Mendix low-code platform. In februari 2026 maakte DIVD(5) op basis van een grootschalige scan bekend meerdere verkeerd geconfigureerde applicaties te hebben geïdentificeerd. Bij deze applicaties waren te ruime rechten toegekend aan anonieme gebruikers of nieuwe geregistreerde gebruikers. De blootgestelde gegevens bevatten volgens DIVD onder andere namen, contactgegevens, adressen, klantgegevens en documenten zoals identiteitsgegevens.
Hoe kwaadwillenden te werk gaan
De werkwijze volgt vaak een herkenbaar patroon. Kwaadwillenden gebruiken geautomatiseerde middelen om het internet te scannen op misconfiguraties. In veel gevallen is een enkel HTTP-verzoek voldoende om vast te stellen of een omgeving verkeerd geconfigureerd is. Wanneer de misconfiguratie is geïdentificeerd, kan de kwaadwillende toegang tot gevoelige informatie verkrijgen zonder daarvoor een kwetsbaarheid uit te buiten. De data is opvraagbaar via de standaard functionaliteiten van het platform. Daarbij wordt gebruikgemaakt van legitieme verzoeken, waardoor het verkeer zich nauwelijks onderscheidt van regulier gebruik en aanvallen moeilijk te detecteren zijn.
Figuur 1 Stappen misbruik verkeerd geconfigureerde omgevingen.png
Na het buit maken van gegevens is het uiteindelijke doel vaak financieel gewin. Organisaties kunnen onder druk worden gezet om te betalen om publicatie van gestolen gegevens te voorkomen, bijvoorbeeld bij de organisatie McGraw-Hill (6) in april 2026, waar na een misconfiguratie gedreigd werd persoonsgegevens openbaar te maken als er geen losgeld werd betaald. Een onderdeel van de afpersing is de rol van de media. Kwaadwillenden nemen soms zelf contact op met journalisten (7) of publiceren details over het incident op openbare kanalen, waardoor de druk op het slachtoffer verder toeneemt. Gegevens zoals namen, telefoonnummers, e-mailadressen of interne notities kunnen daarnaast worden misbruikt voor phishing, fraude of gerichte benadering van medewerkers en klanten en worden regelmatig verhandeld op ondergrondse marktplaatsen.
Neem maatregelen
De basis van weerbaarheid ligt in het voorkomen van onveilige configuraties voordat deze kunnen worden misbruikt. Stel een actueel overzicht op van alle platformen, cloudomgevingen en applicaties en breng configuratie-instellingen en toegangsrechten in kaart (8). Pas het principe van ‘least privilege’ toe (9). Scheid beheerders- en gebruikersaccounts, schakel anonieme toegang uit wanneer het niet noodzakelijk is en besteed specifiek aandacht aan gastaccounts en rechten van applicaties. Verplicht multifactor authenticatie (MFA)(10) voor alle beheerdersaccounts. Pas onveilige standaardconfiguraties aan voordat een systeem in gebruik wordt genomen en gebruik hardening-standaarden zoals CIS Benchmarks of NIST-richtlijnen.(11)
Omdat bij misbruik gebruik wordt gemaakt van legitieme platformfunctionaliteit, kan detectie lastig zijn. Richt detectie daarom in op afwijkingen in gedrag, volume en context. Schakel auditlogging in en zorg dat logs centraal worden verzameld en periodiek geanalyseerd (12). Mocht het toch misgaan, ga er in je respons dan van uit dat de gegevens die inzichtelijk waren ook zijn buitgemaakt. Hoe langer een misconfiguratie bestaat, hoe groter de kans dat deze uiteindelijk misbruikt zal worden. Indien er data is buitgemaakt heeft de Autoriteit Persoonsgegevens (AP) op haar website richtlijnen (13) voor het informeren van betrokkenen bij een datalek.
Tot slot
Misconfiguraties zijn niet nieuw en onder tijdsdruk zo gemaakt. Juist daarom vragen ze om structurele aandacht in plaats van een incidentele check. SURF heeft de top 10 misconfiguraties uit het gezamenlijk advies van de NSA en CISA vertaald naar het Nederlands en voorzien van bijbehorende adviezen (14). Dit is een goed startpunt om vandaag nog naar je eigen configuraties te kijken.
De deur dichthouden begint namelijk bij het weten dat hij open kan staan.
Voor meer informatie en context over dit onderwerp heeft het NCSC het CTI-report “Misconfiguraties bieden kwaadwillenden toegang tot gevoelige gegevens” opgesteld. Dit CTI-report is terug te lezen op de NCSC Community via https://digitaltrustcommunity.nl/
- https://cloudsecurityalliance.org/artifacts/state-of-saas-security-report-2025
- https://www.hostinger.com/tutorials/saas-statistics
- https://www.salesforce.com/blog/protecting-your-data-essential-actions-to-secure-experience-cloud-guest-user-access/
- https://csirt.divd.nl/cases/DIVD-2026-00003/
- https://www.divd.nl/mendix.html
- https://therecord.media/mcgraw-hill-data-leak-tied-to-salesforce-misconfiguration
- https://www.nrc.nl/nieuws/2026/03/13/hoe-de-hackers-van-odido-werken-aan-hun-imago-wat-wilt-u-precies-weten-we-helpen-graag-a4922783
- https://www.ncsc.nl/identiteit-en-acces-management-iam/hoe-organiseer-ik-identiteit-en-toegang
- https://www.ncsc.nl/cyberbeveiligingswet-nis2/verdiepende-maatregelen-voor-toeleveranciers
- https://www.ncsc.nl/multifactor-authenticatie/volwassen-authenticeren
- https://www.ncsc.nl/risicomanagement/hoe-krijg-ik-grip-op-mijn-security-controls
- https://www.ncsc.nl/detectie/hoe-zet-ik-effectief-en-doelmatig-een-soc
- https://www.autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken/zo-informeert-u-slachtoffers-over-een-datalek
- https://sec.surf.nl/wp-content/uploads/2024/01/Handreiking-cybersecurity-configuraties-in-netwerken-v1.2.pdf