Superp Logo
Home » DIVD onderzoek: configuratiefouten in 2.000+ Mendix-omgevingen
Actueel + + + +

DIVD onderzoek: configuratiefouten in 2.000+ Mendix-omgevingen

Digitale ontwikkeling versnelt. Organisaties bouwen bedrijfskritische processen steeds vaker op low-code platforms. Die snelheid biedt kansen, maar vraagt om duidelijke kaders en volwassen governance.

2.000+ omgevingen met configuratiefouten

Recent onderzoek van onze security-collega’s Rudy Dijkstra en Stan Plasmeijer onderstreept dat belang. Beiden werken bij SUPERP en zijn actief als vrijwilliger bij het Dutch Institute for Vulnerability Disclosure (DIVD).

In samenwerking met DIVD deden ze grootschalig onderzoek naar publiek toegankelijke applicatieomgevingen. Het resultaat? Ruim 2.000 omgevingen waarin configuratiefouten leiden tot ongewenste datatoegang.

Van handmatig testen naar automatische scans

Rudy Dijkstra, ethical hacker bij SUPERP, werkte eerder aan het handmatig pentesten van Mendix-applicaties. Tijdrovend. Hij ontwikkelde een tool om dit proces te automatiseren.

Zijn oplossing, Menscan.io, detecteert automatisch configuratiefouten in Mendix-applicaties.

Collega Stan Plasmeijer breidde deze tooling verder uit. Niet alleen individuele applicaties scannen, maar grote aantallen omgevingen in één keer analyseren.

Wereldwijd terugkerend patroon

DIVD zette de tooling in voor grootschalig onderzoek. Het bleek geen incident. Het was een terugkerend patroon. Vergelijkbare configuratiefouten in verschillende sectoren en meerdere landen.

Welke data werd blootgesteld? Van namen en contactgegevens tot interne dossiers. In sommige gevallen documenten of identiteitsbewijzen.

De risico’s? Misbruik van gegevens, fraude en meldplichtige datalekken.

    Het platform werkt. De configuratie niet altijd.

    Het onderzoek richtte zich op applicaties gebouwd met Mendix. De conclusie: het gaat niet om een fundamenteel probleem in het platform zelf. Het gaat om inrichting en autorisatie.

    Onjuist geconfigureerde toegangsrechten of onvoldoende afgeschermde onderdelen veroorzaken risico’s. Vooral wanneer applicaties publiek toegankelijk zijn.

    Responsible disclosure en maatschappelijk belang

    Het onderzoek is uitgevoerd binnen de context van DIVD, een onafhankelijke vrijwilligersorganisatie die zich inzet voor een veiliger internet.

    De werkwijze is gebaseerd op responsible disclosure: kwetsbaarheden worden eerst vertrouwelijk gemeld bij de betreffende organisaties. Die krijgen tijd om maatregelen te nemen. Pas daarna wordt informatie openbaar.

    Dit vraagt meer dan technische kennis. Het vraagt ook maatschappelijk bewustzijn. Besef wat data voor mensen betekent. Begrijp de impact van een lek. En handel daarnaar.

    Dit soort onderzoek speelt een belangrijke rol in digitale weerbaarheid en publieke veiligheid. Het maakt structurele risico’s zichtbaar die anders vaak onder de radar blijven.

    Snelheid versus governance

    Applicatielandschappen groeien. Meer teams bouwen. Meer oplossingen worden gepubliceerd. AI-ondersteunde ontwikkeling maakt software nog sneller.

    Dat is positief. Teams werken efficiënter. Innovatie versnelt.

    Maar er zit een risico aan: functionaliteit wint het vaak van security. En van juiste inrichting.

    Configuratie bepaalt veiligheid

    Configuratie is geen detail. Het bepaalt wie toegang heeft tot welke data en onder welke voorwaarden.

    Meerdere teams die bouwen zonder duidelijke kaders en toezicht? Dan ontstaan kwetsbaarheden. Niet omdat de technologie tekortschiet, maar omdat governance niet structureel is ingericht.

    Softwareontwikkeling vraagt daarom om inzicht:

    • Wie bouwt wat?
    • Hoe zijn rechten geregeld?
    • Welke controles vinden plaats voordat iets live gaat?

    Governance is geen document. Het is een continu proces dat meebeweegt met de snelheid van ontwikkeling.

    Structurele borging binnen het Mendix-landschap

    Binnen onze dochteronderneming, MxBlue | SUPERP, helpen we organisaties om die structurele borging vorm te geven. Waar aanvullende security-expertise nodig is, werken we samen met het SUPERP Security-team.

    Daarnaast zetten we in op continue kwaliteitsbewaking via ons partnership met Blue Storm en de oplossing AppControl. Met geautomatiseerde policy checks, audit logging en real-time rapportages ontstaat blijvend inzicht in kwaliteit, security en compliance. Op zowel applicatie- als portfolioniveau.

    Digitale versnelling is een bewuste keuze. Structurele governance zorgt ervoor dat die keuze beheersbaar en duurzaam blijft.

    Wil je weten of jouw Mendix-applicaties goed zijn ingericht?

    Neem contact op met Sander. Dan praat hij je bij.

    Sander van den Deijssel

    Sander van den Deijssel

    Business Development

    +31 (0) 3030 394 00

    bdm@superp.nl

    Linkedin

    Altijd als eerste op de hoogte?
    Volg ons op LinkedIn!

    Lincedin icon

    Mis geen update of event!
    Abonneer je op onze nieuwsbrief en hoor als eerste over onze nieuwste updates, klantverhalen en events.

    Skip form

    Gerelateerde artikelen