Nextcloud lekte 367.000 interne records, van onversleutelde facturen tot beheerscripts met wachtwoorden erin, via een verkeerd geconfigureerde Elasticsearch-database. Het onderzoeksteam van beveiligingsbedrijf Cybernews trof de bijna 8 gigabyte aan bedrijfsdata op 18 mei openbaar aan; Nextcloud sloot het lek twee dagen na de melding.
De pijn zit in wie hier lekt. Nextcloud is de Duitse open-source leverancier die veel MKB'ers en overheden omarmen als soevereine vervanger van Microsoft 365, juist omdat je data dan in eigen beheer staat. In Nederland onderzoekt het Rijk Nextcloud als soeverein alternatief voor Microsoft 365, met als doel volgend jaar de eerste ambtenaren te migreren. Dit incident laat zien dat eigen beheer de veiligheid niet cadeau geeft: het verschuift de verantwoordelijkheid voor de configuratie naar de partij die host, en een enkele verkeerd afgestelde database volstaat om alles op straat te leggen.
Wat er precies lekte
Alle records zaten in een publiek toegankelijke Elasticsearch-index met interne Nextcloud-bestanden, goed voor 7,92 gigabyte aan gevoelige gegevens. Een deel stond onversleuteld. Onder de blootgestelde bestanden:
- Facturen die Nextcloud verstuurde en ontving, met e-mailadressen van medewerkers en de namen en adressen van klantbedrijven.
- Contracten met samenwerkingsvoorwaarden, de omvang van het werk en de gebruikersaantallen per klant.
- E-mails als losse .eml-bestanden, inclusief de volledige inhoud, verzenders en ontvangers.
- Shell- en Python-scripts waarmee klanten Nextcloud op hun eigen infrastructuur opzetten, sommige met databasewachtwoorden die hard in de code stonden.
Tussen de blootgestelde e-maildomeinen zaten de hostingproviders IONOS en STRATO en Duitse overheidsinstellingen, waaronder het ministerie van Onderwijs van de deelstaat Noordrijn-Westfalen. Zo reikte een intern lek meteen tot in de gegevens van partners en klanten.
Niet de software, maar de opzet
Nextcloud benadrukt dat de fout in de eigen hostinginfrastructuur zat en niet in de Nextcloud-software zelf, en dat geen enkele Nextcloud-server van klanten, partners of andere gebruikers is geraakt. Er is geen bewijs dat de data is ingezien of misbruikt, en het bedrijf lichtte de toezichthouder in en dichtte het gat binnen twee dagen na de melding.
Toch reikt de schade verder dan het bedrijf alleen. De gelekte scripts waren juist gemaakt voor klanten, en de onderzoekers waarschuwen dat de buitgemaakte e-mails en scripts helpen om overtuigende phishingmails te maken of klantsystemen op zwakke plekken af te tasten. Wachtwoorden die in zo'n script staan, geven een aanvaller bovendien een directe voet tussen de deur bij de systemen die het script beheert.
Waarom dit ertoe doet
Het patroon achter dit lek is het bekendste in de beveiliging: geen geraffineerde inbraak, maar een menselijke misconfiguratie die een database per ongeluk aan het hele internet blootstelt. Voor de bredere beweging richting soevereine, zelf-gehoste werkplekken is dat precies de kern. Terwijl de migratie naar een soevereine cloud op overheidsschaal dagelijkse praktijk wordt en organisaties de overstap van Microsoft 365 naar een soevereine werkplek met Nextcloud en Linux maken, verschuift het beslissende punt van de leverancierskeuze naar de discipline eromheen: wie host, wie configureert, en staat er echt geen database of wachtwoord onbeschermd open? Soevereiniteit gaat over controle, en controle brengt de plicht mee om die correct in te richten.
Veelgestelde vragen
Soeverein en veilig opgezet
Zelf hosten geeft je controle, maar alleen als de opzet klopt. Ik denk met je mee, ontwerp en bouw je soevereine stack end-to-end en automatiseer het beheer, zodat een verkeerde configuratie je data niet verraadt.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
