DIVD-hackers ontdekken 2000 slecht geconfigureerde, publieke Mendix-installaties

Beveiligingsonderzoekers van het Dutch Institute of Vulnerability Disclosure hebben zeker 2000 Mendix-systemen ontdekt die verkeerd geconfigureerd zijn. Daardoor was het mogelijk gevoelige data te achterhalen, zoals medische gegevens en ID-bewijzen.

DIVD schrijft dat het meerdere Mendix-applicaties online heeft gevonden die zowel in de cloud werden gehost als on-premises, maar die dan bijvoorbeeld toch via een openbare poort bereikbaar waren. Mendix is een van oorsprong Nederlands bedrijf dat software maakt waarmee het mogelijk is eigen applicaties te bouwen. DIVD ontdekte geen kwetsbaarheden of bugs in de software zelf, maar vond meerdere instances waarbij een Mendix-omgeving door beheerders onveilig was geconfigureerd.

Het gaat dan bijvoorbeeld om toegangsbeheer dat slecht is ingesteld of verkeerd geconfigureerde rollen, of de mogelijkheid voor nieuwe of anonieme gebruikers om te veel data te achterhalen uit een omgeving. Volgens DIVD is het in veel gevallen al mogelijk informatie te achterhalen door alleen een anoniem account in te zetten. Dat zou het ook lastig maken om misbruik te ontdekken, zeggen de onderzoekers.

Omdat Mendix door zoveel verschillende diensten wordt gebruikt, is het potentiële risico groot. "Er zijn tot nu toe applicaties aangetroffen bij overheden en gemeenten, banken, zorginstellingen, hogescholen, e-learningplatformen, autodealers en interne platformen wereldwijd. In een niet-Nederlandse applicatie zijn bijvoorbeeld 650.000 identiteitsbewijzen toegankelijk", schrijft DIVD. Ook konden de ethische hackers financiële gegevens en medische data inzien. Het was ook mogelijk data te wijzigen, zoals bankrekeninggegevens.

Omdat het niet om een bug gaat bij één specifiek platform of bedrijf, zegt DIVD nu alvast een waarschuwing te publiceren. De organisatie heeft al organisaties benaderd via hun responsible-disclosurebeleid, maar zegt ook andere organisaties te waarschuwen om naar hun Mendix-applicaties te kijken. "Iedere organisatie die Mendix gebruikt, wordt dringend geadviseerd zo snel mogelijk de configuratie van zowel interne als externe Mendix-applicaties te controleren, met nadruk op autorisatie."

Een van de ethisch hackers van DIVD heeft een tooltje gemaakt waarmee het mogelijk is configuraties te scannen op kwetsbaarheden. Ook is er Menscan dat kan doen. Verder verwijst DIVD door naar een waarschuwingspagina met mitigatie-informatie van Mendix zelf.

Vorig nieuwsartikel

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 27-02-2026 20:51 23

27-02-2026 • 20:51

Lees meer

Siemens neemt applicatiebouwer Mendix over voor ruim 600 miljoen euro

Siemens neemt applicatiebouwer Mendix over voor ruim 600 miljoen euro Nieuws van 2 augustus 2018

Bedrijven investeerden vorig jaar 500 miljoen euro in Nederlandse start-ups

Bedrijven investeerden vorig jaar 500 miljoen euro in Nederlandse start-ups Nieuws van 31 januari 2015

Beveiliging en antivirus Dutch Institute for Vulnerability Disclosure Hack Nederland

Reacties (23)

23

22

10

1

0

8

Wijzig sortering

vinkjb 27 februari 2026 20:58

Hoe zit dat nu toch met al die beveiligingsproblemen? Zijn de ITérs onkundig, of zegt het bedrijf dit kost geld en zien we niet terug of wat is het idee achter al deze ellende steeds?

Kijkt er niemand naar updates van die software?

Ik ben totaal onkundig op dit gebied maar vroeg het me gewoon af

Jovatov @vinkjb • 27 februari 2026 21:07

In het algemeen geldt dat de vraag naar IT-oplossingen gewoon veel groter is dan het aanbod aan IT-professionals die dat voor een betaalbare prijs, kwalitatief goed kan doen. Door deze mismatch moeten er keuzes gemaakt worden en wordt de focus in eerste instantie gelegd op zaken waar klanten mee binnengehaald worden cq de dagelijkse werkzaamheden in ondersteund worden. IT-werkzaamheden om risico's te verlagen hebben simpelweg geen direct nut en belanden dus onderaan de stapel.

Vergelijk het met het schoonmaken van je bedrijfsruimte met een beperkt aanbod aan schoonmakers. Je zorgt in elk geval dat de receptie/waar de klanten komen goed schoon is. Daarna komen de kantoren waar dagelijks personeel is. De archiefruimtes waar nauwelijks iemand komt worden bijna niet aangepakt.

satya @Jovatov • 27 februari 2026 22:00

Op dit moment is het tekort echt nijpend. Wij beheren een redelijk omvangrijke omgeving met specialistische applicaties en bij alle leveranciers kunnen we merken dat het spaak loopt en veel zaken langer duren.

TERW_DAN @vinkjb • 27 februari 2026 21:10

Er zijn zoveel manieren waarop dit fout kan gaan.
- onkundige ITers. De wereld verandert snel, en als ze dan niet meekomen dan kun je dit soort dingen krijgen.
- managers die het niet snappen. Een ITer kan nog zo'n goed punt hebben. Als de manager het verbiedt, of simpelweg zegt dat er geen tijd is om config xyz uit te rollen, dan kan zo'n ITer ook niet zoveel.
- Tijdelijke oplossingen, die alles behalve tijdelijk blijken te zijn. Er wordt snel even iets in elkaar gezet als proof of concept, maar omdat dat goed genoeg werkt wordt het gelijk in productie gebruikt, in plaats van dat het fatsoenlijk geconfigged wordt.
- Een niet ITer die hiermee aan de gang gaat. Zeker met de opkomst van AI denkt iedereen vanalles in elkaar te kunnen vibe-coden, zonder gehinderd te worden door enige kennis. En dat wordt live gegooid omdat het toch wel werkt. Maar dat het zo lek is als een mandje ziet niemand. Of het wordt niet geupdate omdat niemand weet dat het nog ergens draait.

En zo zijn er vast nog wel een aantal dingen te bedenken. Het is vaak ook een samenloop van meerdere factoren, maar in een tijdperk dat alles aan het internet moet hangen vaak wel erg vervelend.

dmantione @TERW_DAN • 27 februari 2026 22:31

Ik zou daaraan willen toevoegen: Beveiliging is per definitie onhandig. De verleiding om iets van het slot te halen uit gemak is heel groot en een goed compromis bedenken tussen veiligheid en gemak vergt vaak investering. Zo lang het goed gaat, blijft het slot er dan vaak af.

sfranken @vinkjb • 27 februari 2026 21:09

Vaak is het management druk. Manager X wil dat de applicatie binnen X of Y periode draait want dat heeft hij/zij beloofd aan "de baas" en dus moet dat gebeuren, want anders komt dat knullig over! Dus dingen als beveiliging e.d "komen nog wel"...

Kerfuffle @vinkjb • 27 februari 2026 21:14

Het is helaas lang niet altijd onkunde qua security. Vaak is het een kwestie van prioriteit en/of gewenning. IT-werknemers weten vaak wel dat er "nog iets moet gebeuren", maar als daar lang genoeg geen prioriteit aan kan worden gegeven, zie je dat mensen ophouden met het opnieuw aankaarten. Ook zie je vaak dat mensen het wel roepen, maar niet tegen de juiste mensen; bijv. omdat ze gewoon niet weten hoe ze de mensen met mandaat kunnen bereiken. En tenslotte zijn mensen in het algemeen slecht in risico inschatten - dat wil zeggen: de kans dat het misgaat overscahtten en de de gevolgen daarvan onderschatten. Zeker wanneer andere zaken duidelijkere pay-off hebben, raken securityaspecten makkelijk achterop. Daarom is een CISO die het mandaat heeft om bijv. minimale requirements en audits af te dwingen geen overbodige luxe.

dasiro @vinkjb • 27 februari 2026 21:17

"het werkt, dus het is goed". Er is echter meer dat fout kan gaan dan dat er juist kan gaan en al die scenario's afdekken is enorm duur/tijdrovend/kennisintensief. Ik vind het persoonlijk absoluut niet leuk om niet elk detail te kennen, maar weet dat dit voor de overgrote meerderheid jammer genoeg geen zorg is.

Onbekend @vinkjb • 27 februari 2026 21:24

Het is altijd een kwestie van tijd en geld.
In de ideale wereld heb je voldoende tijd en geld om alle problemen aan te pakken. In de praktijk heb je dat helaas niet en moet je keuzes maken, met het gevolg dat sommige zaken te lang blijven liggen of zelfs nooit worden opgepakt....

Transportman @vinkjb • 27 februari 2026 21:47

Het is zoals anderen al zeggen een combinatie van factoren, maar meestal is het ook een flink stuk complexiteit en (on)bewuste afwegingen. Daarnaast luistert beveiliging heel nauw, één verkeerde instelling en je kan al nat gaan of informatie lekken waar aanvallers verder mee kunnen. En dan heb je nog de programma's waar de documentatie incompleet is of de standaardinstellingen gewoon ronduit onveilig zijn omdat de leverancier het makkelijk wil maken dat iedereen het programma meteen kan starten zonder nog van alles uit te moeten zetten om lokaal er mee te kunnen werken.

En dat is dan alleen nog maar het programma zelf, meestal zitten er nog firewalls en dergelijke voor die ook weer een rol spelen...

keejoz @vinkjb • 27 februari 2026 21:06

Als je soms reacties leest over hoe slecht AI coding is en over hoe geweldig menselijke programmeurs zijn zou je toch geloven van niet

Sebastian1313 @keejoz • 27 februari 2026 22:48

Wat bedoelt u precies? En wat moet ik niet geloven?

Even ter info, persoonlijk heb ik alleen maar last van slechte AI prestaties dus dat u het veel Leest geloof ik inderdaad heel graag.

oef! @vinkjb • 27 februari 2026 22:15

Alles hierboven en IT is gewoon moeilijk, je hebt je security, je hardware, je besturingssysteem, je software infra, je databases en nog dan de software die uiterst complex kan zijn. En dan is dat stuk software op zijn beurt weer onderdeel van een heel ecosysteem aan software.

Ontwikkelaars zijn druk met nieuwe features en bugfixes dus hebben ze niet voldoende tijd om fundamentele verbeteringen door te voeren. Hardware is geoutsourced naar een externe beheerspartij wat onduidelijkheid schept Beheerders lopen van issue naar naar incident. Software wordt zo complex dat consultants niet meer de tijd hebben om het hele pakket te kennen. Er is gewoon niet genoeg tijd.

Unstable Element @vinkjb • 27 februari 2026 22:41

https://xkcd.com/2030/

camper69 27 februari 2026 21:32

Niet iedereen uiteraard, maar veel techneuten die ik ben tegengekomen binnen low-code of ERP-achtige omgevingen maakten op mij technisch geen sterke indruk. Enige interesse in techniek leek vaak beperkt aanwezig. Daarom verbaast het mij eerlijk gezegd niet dat security bij Mendix bovengemiddeld zwak is ingericht.

satya @camper69 • 27 februari 2026 21:52

Als je can 69 bent kan het zomaar zijn dat je een steeds grotere groep tegenkomt die bepaalde fundamenten compleet ontberen. Waarom weet ik niet, veel IT opleidingen van nu zijn soms erg specialistisch misschien.

sequenter @camper69 • 27 februari 2026 22:24

Helemaal mee eens... ben van 71 en ik zie zoveel mensen om me heen die niet weten hoe bijvoorbeeld bestandsystemen werken of hoe je bepaalde logica opzet binnen software. En dat je je dan ook nog eens tot in de treuren moet verdedigen om mensen aan hun verstand te peuteren dat hoe ze bezig zijn niet schaalbaar is. Meeste mensen missen de fundamenten om verstandige beslissingen te maken. De opleidingen vergeten compleet de onderliggende logica van computers uit te leggen, of ze gaan daar te theoretisch op in en vergeten dan dat die kennis dan totaal niet toepasbaar is. Gaat steeds meer een groot probleem worden.

Usselite 27 februari 2026 22:13

In het verleden ook eens aangehaald bij een bekendere Outsystems consultancy club. Het project valideerde niet afdoende of de gebruikers daadwerkelijk voldoende rechten hadden. Met als gevolg dat web requests gemanipuleerd konden worden als je eenmaal geauthentiseerd was.

Vaak hebben de low code consultancy clubs niet de technische kennis in huis om een degelijk veilig systeem in elkaar te zetten.

Sandor_Clegane @Usselite • 27 februari 2026 22:47

Nee, want weten hoe het werkt is niet 'low code'.

Maarten69 @jannesbeterams • 27 februari 2026 21:52

/s

satya @jannesbeterams • 27 februari 2026 21:58

Men kan ook een agent opzetten die met een voor deze omgeving gespecialiseerde MCP tegen de omgeving aankijkt en de (security) puntjes op de i kan zetten.

kuurtjes @jannesbeterams • 27 februari 2026 22:02

Deze problemen gaan inderdaad verdwijnen omdat er nog honderdmaal ergere problemen gaan komen.

Om te kunnen reageren moet je ingelogd zijn

Nieuwe Pokémon-delen Winds en Waves komen in 2027 uit en vinden plaats op eiland