DIVD onderzoek legt configuratiefouten bloot in 2.000+ Mendix-omgevingen
Digitale ontwikkeling versnelt. Organisaties bouwen steeds vaker bedrijf kritische processen op low code platforms. Die snelheid biedt kansen, maar vraagt ook om duidelijke kaders en volwassen governance.
Recent onderzoek van onze collega’s Rudy Dijkstra en Stan Plasmeijer, beiden werkzaam bij SUPERP én actief als vrijwilliger bij het. Dutch Institute for Vulnerability Disclosure, onderstreept dat belang. In samenwerking met DIVD is op grote schaal onderzoek gedaan naar publiek toegankelijke applicatieomgevingen. Daarbij werden ruim 2.000 omgevingen aangetroffen waarin configuratiefouten konden leiden tot ongewenste datatoegang.
Rudy Dijkstra, ethisch hacker, werkte eerder aan het handmatig pentesten van Mendix-applicaties. Omdat dit tijdrovend is, ontwikkelde hij een tool om dit proces te automatiseren. Zijn oplossing, Menscan.io, detecteert automatisch configuratiefouten in Mendix-applicaties.
Collega Stan Plasmeijer breidde deze tooling verder uit, zodat niet alleen individuele applicaties, maar ook grote aantallen omgevingen in één keer geanalyseerd kunnen worden.
Wereldwijd patroon zichtbaar
De tooling werd vervolgens binnen DIVD ingezet voor grootschalig onderzoek. Daarbij werd duidelijk dat het geen incidenten betrof, maar een terugkerend patroon. Vergelijkbare configuratiefouten kwamen voor in uiteenlopende sectoren en in meerdere landen.
De blootgestelde data varieerden van namen en contactgegevens tot interne dossiers en in sommige gevallen documenten of identiteitsbewijzen. Dit brengt risico’s met zich mee zoals misbruik van gegevens, fraude en meldplichtige datalekken.
Het onderzoek richtte zich op applicaties gebouwd met Mendix. De bevindingen laten zien dat het niet gaat om een fundamenteel probleem in het platform zelf, maar om inrichting en autorisatie. Onjuist geconfigureerde toegangsrechten of onvoldoende afgeschermde onderdelen kunnen risico’s veroorzaken, zeker wanneer applicaties publiek toegankelijk zijn.
Responsible disclosure en maatschappelijk belang
Het onderzoek is uitgevoerd binnen de context van DIVD, een onafhankelijke vrijwilligersorganisatie die zich inzet voor het veiliger maken van het internet.
De werkwijze is gebaseerd op het principe van responsible disclosure: kwetsbaarheden worden eerst vertrouwelijk gemeld bij de betreffende organisaties, zodat zij maatregelen kunnen nemen voordat informatie openbaar wordt.
Dit soort onderzoek speelt een belangrijke rol in het vergroten van digitale weerbaarheid en publieke veiligheid. Het maakt structurele risico’s zichtbaar die anders vaak onder de radar blijven.
Governance vraagt om structurele inrichting
Applicatielandschappen groeien. Meer teams bouwen. Meer oplossingen worden gepubliceerd. Met de opkomst van AI-ondersteunde ontwikkeling wordt software bovendien steeds sneller gerealiseerd.
Dat is een positieve ontwikkeling. Tegelijkertijd ontstaat het risico dat security en inrichting minder aandacht krijgen dan functionaliteit.
Configuratie is geen detail. Het bepaalt wie toegang heeft tot welke data en onder welke voorwaarden. Wanneer meerdere teams bouwen zonder duidelijke kaders en toezicht, kunnen kwetsbaarheden ontstaan.
Niet omdat de technologie tekortschiet, maar omdat governance niet structureel is ingericht.
Softwareontwikkeling vraagt daarom om inzicht: wie bouwt wat, hoe zijn rechten geregeld en welke controles vinden plaats voordat iets live gaat. Governance is geen document, maar een continu proces dat meebeweegt met de snelheid van ontwikkeling.
Structurele borging binnen het Mendix-landschap
Binnen MxBlue | SUPERP helpen wij organisaties om die structurele borging vorm te geven. Waar aanvullende security-expertise nodig is, werken wij samen met het SUPERP Security team.
Daarnaast zetten wij in op continue kwaliteitsbewaking via ons partnership met Blue Storm en de oplossing AppControl. Met geautomatiseerde policy checks, audit logging en real-time rapportages ontstaat blijvend inzicht in kwaliteit, security en compliance, op zowel applicatie- als portfolioniveau.
Digitale versnelling is een bewuste keuze. Structurele governance zorgt ervoor dat die keuze beheersbaar en duurzaam blijft.
Wil je weten of jouw Mendix applicaties goed zijn ingericht en hoe je governance structureel borgt? Neem contact op met Sander van den Deijssel. Dan praat hij je bij.
