Close-up van servers met koelventilatoren in een datacenter.
Nieuws9 juli · 14:223 min leestijd

Nextcloud lekt 367.000 records via open database

Nextcloud, de open-source leverancier die veel organisaties als soeverein Microsoft 365-alternatief zien, lekte 367.000 interne records via een verkeerd geconfigureerde database. Het lek zat in de eigen hosting, niet in de software, maar raakt wel klantgegevens.

Nextcloud lekte 367.000 interne records, van onversleutelde facturen tot beheerscripts met wachtwoorden erin, via een verkeerd geconfigureerde Elasticsearch-database. Het onderzoeksteam van beveiligingsbedrijf Cybernews trof de bijna 8 gigabyte aan bedrijfsdata op 18 mei openbaar aan; Nextcloud sloot het lek twee dagen na de melding.

De pijn zit in wie hier lekt. Nextcloud is de Duitse open-source leverancier die veel MKB'ers en overheden omarmen als soevereine vervanger van Microsoft 365, juist omdat je data dan in eigen beheer staat. In Nederland onderzoekt het Rijk Nextcloud als soeverein alternatief voor Microsoft 365, met als doel volgend jaar de eerste ambtenaren te migreren. Dit incident laat zien dat eigen beheer de veiligheid niet cadeau geeft: het verschuift de verantwoordelijkheid voor de configuratie naar de partij die host, en een enkele verkeerd afgestelde database volstaat om alles op straat te leggen.

Wat er precies lekte

Alle records zaten in een publiek toegankelijke Elasticsearch-index met interne Nextcloud-bestanden, goed voor 7,92 gigabyte aan gevoelige gegevens. Een deel stond onversleuteld. Onder de blootgestelde bestanden:

  • Facturen die Nextcloud verstuurde en ontving, met e-mailadressen van medewerkers en de namen en adressen van klantbedrijven.
  • Contracten met samenwerkingsvoorwaarden, de omvang van het werk en de gebruikersaantallen per klant.
  • E-mails als losse .eml-bestanden, inclusief de volledige inhoud, verzenders en ontvangers.
  • Shell- en Python-scripts waarmee klanten Nextcloud op hun eigen infrastructuur opzetten, sommige met databasewachtwoorden die hard in de code stonden.

Tussen de blootgestelde e-maildomeinen zaten de hostingproviders IONOS en STRATO en Duitse overheidsinstellingen, waaronder het ministerie van Onderwijs van de deelstaat Noordrijn-Westfalen. Zo reikte een intern lek meteen tot in de gegevens van partners en klanten.

Niet de software, maar de opzet

Nextcloud benadrukt dat de fout in de eigen hostinginfrastructuur zat en niet in de Nextcloud-software zelf, en dat geen enkele Nextcloud-server van klanten, partners of andere gebruikers is geraakt. Er is geen bewijs dat de data is ingezien of misbruikt, en het bedrijf lichtte de toezichthouder in en dichtte het gat binnen twee dagen na de melding.

Toch reikt de schade verder dan het bedrijf alleen. De gelekte scripts waren juist gemaakt voor klanten, en de onderzoekers waarschuwen dat de buitgemaakte e-mails en scripts helpen om overtuigende phishingmails te maken of klantsystemen op zwakke plekken af te tasten. Wachtwoorden die in zo'n script staan, geven een aanvaller bovendien een directe voet tussen de deur bij de systemen die het script beheert.

Waarom dit ertoe doet

Het patroon achter dit lek is het bekendste in de beveiliging: geen geraffineerde inbraak, maar een menselijke misconfiguratie die een database per ongeluk aan het hele internet blootstelt. Voor de bredere beweging richting soevereine, zelf-gehoste werkplekken is dat precies de kern. Terwijl de migratie naar een soevereine cloud op overheidsschaal dagelijkse praktijk wordt en organisaties de overstap van Microsoft 365 naar een soevereine werkplek met Nextcloud en Linux maken, verschuift het beslissende punt van de leverancierskeuze naar de discipline eromheen: wie host, wie configureert, en staat er echt geen database of wachtwoord onbeschermd open? Soevereiniteit gaat over controle, en controle brengt de plicht mee om die correct in te richten.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Soeverein en veilig opgezet

Zelf hosten geeft je controle, maar alleen als de opzet klopt. Ik denk met je mee, ontwerp en bouw je soevereine stack end-to-end en automatiseer het beheer, zodat een verkeerde configuratie je data niet verraadt.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Nextcloud Summit: migratie naar soevereine cloud wordt dagelijkse praktijk
Nieuws
5 min

24 jun 12:58

Nextcloud Summit: migratie naar soevereine cloud wordt dagelijkse praktijk

Op de Nextcloud Summit in München lieten Europese ministeries, telecombedrijven en onderwijskoepels zien dat een open-source, soevereine cloud niet langer een beleidswoord is maar draaiende productie met honderdduizenden gebruikers.

Frankrijk dumpt Palantir en geeft elke ambtenaar een Mistral-assistent: een soevereiniteitsles voor Nederland
Nieuws
6 min

16 jun 16:28

Frankrijk dumpt Palantir en geeft elke ambtenaar een Mistral-assistent: een soevereiniteitsles voor Nederland

De Franse inlichtingendienst DGSI vervangt het Amerikaanse Palantir door het Franse ChapsVision, en premier Lecornu rolt een Mistral-assistent uit naar een miljoen ambtenaren. Een concreet precedent voor elke organisatie die twijfelt over Amerikaanse techafhankelijkheid.

Het Rijk onderzoekt Nextcloud als alternatief voor Microsoft 365
Nieuws
4 min

12 jun 12:28

Het Rijk onderzoekt Nextcloud als alternatief voor Microsoft 365

Minister Heerma laat onderzoeken of het open-source Nextcloud Microsoft 365 kan vervangen binnen een soevereine digitale werkplek voor de overheid. Wat dat signaal betekent voor jouw bedrijf.

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden
Signaal
6 min

5 jul 14:54

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden

In zes weken blokkeerde de staat een Amerikaanse overname, trok DigiD naar een eigen cloud en koos Europees voor zijn supercomputer. Los is het beleid, samen laat het zien dat soevereiniteit van ambitie een instrument werd.

Rijk scherpt cloudbeleid aan: strengere eisen voor publieke cloud bij de overheid
Nieuws
6 min

3 jul 22:09

Rijk scherpt cloudbeleid aan: strengere eisen voor publieke cloud bij de overheid

De ministerraad stelde op 3 juli het herziene rijksbrede cloudbeleid vast. Kritieke diensten mogen niet meer zomaar naar buitenlandse publieke cloud, met vier jaar de tijd en verplichte exitplannen.

AGCM onderzoekt Microsoft: stille Copilot-upgrade dreef prijs Microsoft 365 op zonder duidelijke toestemming
Nieuws
5 min

27 jun 08:22

AGCM onderzoekt Microsoft: stille Copilot-upgrade dreef prijs Microsoft 365 op zonder duidelijke toestemming

De Italiaanse mededingingsautoriteit onderzoekt of Microsoft abonnees misleidde door Copilot ongemerkt in Microsoft 365 te bundelen en ze standaard op een duurder plan te zetten. Wat betekent dat voor Nederlandse gebruikers en bedrijven?