Gevoelige persoonsgegevens waarover organisaties beschikken zijn voor iedereen op internet toegankelijk omdat de gebruikte Mendix-applicaties verkeerd zijn geconfigureerd. Het gaat om applicaties bij overheden en gemeenten, banken, zorginstellingen, hoge scholen, e-learning platformen, autodealers en interne platformen wereldwijd, zo waarschuwt het Dutch Institute for Vulnerability Disclosure (DIVD) vandaag.

Het DIVD benadrukt dat het geen kwetsbaarheid in Mendix zelf is, maar het hier om configuratiefouten gaat. Mendix biedt een "low-code" ontwikkelplatform voor het ontwikkelen van applicaties. "Wereldwijd zien we organisaties die dit onjuist hebben ingericht, waardoor onbevoegden, mogelijk zonder inloggen, onrechtmatig toegang kunnen krijgen tot (zeer) gevoelige gegevens", aldus het DIVD. Bij één applicatie konden onderzoekers toegang tot kopieën van 650.000 identiteitsbewijzen krijgen.

In andere gevallen konden de onderzoekers financiële gegevens inzien en wijzigen en waren (bijzondere) persoonsgegevens, contractinformatie of zelfs medische persoonsgegevens toegankelijk. Bij een platform waar veel financiële transacties plaatsvonden, konden de onderzoekers het rekeningnummer van de ontvangende partij wijzigen naar dat van henzelf. "Zoiets zouden we nooit doen, maar het kan wel."

Wereldwijd zijn inmiddels meer dan tweeduizend verkeerd geconfigureerde systemen geïdentificeerd, maar het onderzoek is nog gaande. De onderzoekers verwachten de komende periode nog veel meer systemen te identificeren. Organisaties worden opgeroepen om de autorisatie-instellingen van hun Mendix-applicaties meteen te controleren. Er moet niet alleen worden gecontroleerd of anonieme bezoekers data kunnen benaderen, maar ook wat er zichtbaar wordt zodra iemand wél is ingelogd. "We komen situaties tegen waarin je een account kunt registreren en activeren, waarna in één keer (vrijwel) de volledige database wordt ontsloten", aldus de onderzoekers.