image

NCSC waarschuwt voor datalekken als gevolg van misconfiguraties

donderdag 4 juni 2026, 09:39 door Redactie, 11 reacties

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt organisaties voor datalekken die het gevolg zijn van misconfiguraties. De overheidsinstantie stelt dat steeds meer organisaties hun klantgegevens, financiële data en interne documenten in SaaS- en cloudomgevingen zetten. "Dat is logisch want het werkt snel, schaalbaar en het werkt overal. Maar één verkeerd vinkje in de configuratie kan voldoende zijn om al die gevoelige informatie onbedoeld benaderbaar te maken voor de buitenwereld."

Misconfiguraties zijn bijvoorbeeld gastgebruikers met te ruime rechten, een API die zonder authenticatie bereikbaar is of een standaardconfiguratie die na de uitrol nooit is aangescherpt. Volgens het NCSC scannen kwaadwillenden geautomatiseerd en op grote schaal het internet af op zoek naar dergelijke misconfiguraties. De overheidsinstantie nam de afgelopen maanden verschillende incidenten waar, waarbij een misconfiguratie aanvallers in staat stelde om gevoelige informatie buit te maken. Organisaties worden vervolgens met de gestolen data afgeperst.

"Misconfiguraties zijn niet nieuw en onder tijdsdruk zo gemaakt. Juist daarom vragen ze om structurele aandacht in plaats van een incidentele check", aldus het NCSC. Dat adviseert organisaties om een actueel overzicht op te stellen van alle platformen, cloudomgevingen en applicaties en configuratie-instellingen en toegangsrechten in kaart te brengen. Verder wordt aangeraden om het ‘least privilege’ toe te passen, admin- en gebruikersaccounts te scheiden, anonieme toegang uit te schakelen wanneer het niet noodzakelijk is en specifiek aandacht te besteden aan gastaccounts en rechten van applicaties. Verder moet voor alle admin-accounts multifactorauthenticatie worden verplicht.

Reacties (11)
04-06-2026, 10:37 door Anoniem
Sinds 2003 al onderdeel van de OWASP top 10
04-06-2026, 11:41 door Anoniem
Maar één verkeerd vinkje in de configuratie kan voldoende zijn om al die gevoelige informatie onbedoeld benaderbaar te maken voor de buitenwereld

Het is nog veel erger gesteld met in de Cloud oplossingen dan dit simpele voorbeeld.

Per definitie wordt er niets gedaan aan extra security maatregelen door Cloud partijen zoals ik afgelopen jaren al meer dan eens heb kunnen constateren.

Het maakt niet uit of je beginnend of gevorderd beheerder bent, door de complexe en onoverzichtelijke structuren kun je niet eenvoudig zomaar de gaten vinden en is het dus taak van de Cloud bedrijven maar die kunnen of willen het blijkbaar ook niet.

Mijn advies, blijf weg van die Cloud puinhoop en bouw je eigen systemen zodat je zowel je kennis blijft opbouwen en een vinger aan de pols kunt houden wat je niet kunt bij Cloud oplossingen.

Als voorbeeld, check je shared mailboxen in Microsoft 365 want bij alle oude Office 365 tennants staan deze open om op in te kunnen loggen en is het wachtwoord automatisch gegenereerd en maar 8 posities lang. Per default had Microsoft deze moeten disabelen.

Een beheerder heeft dit niet in de gaten omdat dit op een heel ander niveau zit en in een ander menu.
04-06-2026, 12:35 door Anoniem
Dat is logisch want het werkt snel, schaalbaar en het werkt overal
Dat het NCSC nauw samenwerkt met Microsoft wist ik al. Deze opmerking komt uit die koker.
Dat het logisch is gaat het NCSC niet over want het is geen beveiligingsadvies maar een Microsoft advies.
Het is trouwens allemaal zeer gericht op de windows monocultuur. Zo af en toe sijpelt er iets over andere systemen door en dan is het vaak zwaar overdreven.
Opheffen deze organisatie. Belastinggeld kan beter naar voorlichting over open source, -ontwikkelingen en -security binnen de overheid. Het bedrijfsleven klopt zelf maar bij Microsoft aan. Ze weten die weg toch al goed te vinden.
04-06-2026, 12:57 door Anoniem
Door Anoniem: Maar één verkeerd vinkje in de configuratie kan voldoende zijn om al die gevoelige informatie onbedoeld benaderbaar te maken voor de buitenwereld

Het is nog veel erger gesteld met in de Cloud oplossingen dan dit simpele voorbeeld.

Per definitie wordt er niets gedaan aan extra security maatregelen door Cloud partijen zoals ik afgelopen jaren al meer dan eens heb kunnen constateren.

Het maakt niet uit of je beginnend of gevorderd beheerder bent, door de complexe en onoverzichtelijke structuren kun je niet eenvoudig zomaar de gaten vinden en is het dus taak van de Cloud bedrijven maar die kunnen of willen het blijkbaar ook niet.

Mijn advies, blijf weg van die Cloud puinhoop en bouw je eigen systemen zodat je zowel je kennis blijft opbouwen en een vinger aan de pols kunt houden wat je niet kunt bij Cloud oplossingen.

Als voorbeeld, check je shared mailboxen in Microsoft 365 want bij alle oude Office 365 tennants staan deze open om op in te kunnen loggen en is het wachtwoord automatisch gegenereerd en maar 8 posities lang. Per default had Microsoft deze moeten disabelen.

Een beheerder heeft dit niet in de gaten omdat dit op een heel ander niveau zit en in een ander menu.
Office365 is ook cloud, dus uitfaseren dan.
04-06-2026, 13:12 door Anoniem
Door Anoniem: Sinds 2003 al onderdeel van de OWASP top 10
Klopt helemaal en NOG STEEDS gaat dit regelmatig mis.

Dus prima herhalend advies vanuit het NCSC!
04-06-2026, 13:24 door Anoniem
Centralisatie van alle data van burgers op een plek

dat is ook superhandig en natuurlijk het bekend vinkje niet vergeten.

EUNL2026
05-06-2026, 06:07 door Anoniem
En dan blijkt de gehele boel gehackt of niet meer te werken
en weet echt niemand hoe dat zo gekomen is. (Echt, nie?????).

We wisten het reeds in de dagen van de veel te vroeg gestorven FRAVIA
en dat is al meer dan twintig jaar geleden.
Ja, zoek maar eens op wie dat was, zo rond de eeuwwisseling.
05-06-2026, 07:04 door Anoniem
"Dat is logisch want het werkt snel, schaalbaar en het werkt overal. Maar één verkeerd vinkje in de configuratie kan voldoende zijn om al die gevoelige informatie onbedoeld benaderbaar te maken voor de buitenwereld."
Wat ik schokkend aan vind aan dat beeld is dat zo'n clouddienst dan kennelijk enkel wordt beoordeeld op wat er aantrekkelijk aan is en totaal niet op wat er mis mee zou kunnen gaan. En dat soort oordelen zouden "logisch" zijn? Je slaat juist een uiterst belangrijk stuk logica over als je iets alleen op de positieve kanten en niet op de risico's en andere negatieve kanten beoordeelt. Als zoiets groots werkelijk van een enkel vinkje afhangt dan weet je dat de kans enorm is dat het ooit een keer mis zal gaan, tenzij je totaal niet nadenkt of verzuimt te kijken naar waar je mee te maken hebt. Dan volstaat de oplossing simpelweg niet voor iets dat vertrouwelijk moet blijven, hoe aantrekkelijk andere aspecten ervan ook zijn. Dat negeren is besluiten nemen op het niveau van een kustplaats die de zeewering weghaalt omdat een vrij uitzicht op zee vanuit de huiskamer zo fijn is.
05-06-2026, 08:05 door Anoniem
Wat doen we met de zogeheten Schaduw-IT?
Het is het grote kwaad dat bestaat.
05-06-2026, 09:17 door Anoniem
Iets met Zero Trust....
06-06-2026, 16:44 door Anoniem
Het is nooit anders geweest dan dat “gemak ver boven security staat” dat was in 1994 al zo en is nu nog steeds zo. Dat het andersom moet zijn, is al jaren niet in beeld. Het heeft met snel geld verdienen te maken, groter worden enzo. Ik zie dat het al zeker 30 jaar zo is, het gaat niet veranderen, ook de komende jaren niet. Ik maak me er niet meer druk om, want ik heb er last van en men wilt niet anders.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.