Honderdduizenden interne records van Nextcloud zijn door een verkeerd geconfigureerde hostingomgeving op straat beland. Een Elasticsearch-database stond publiekelijk open, waardoor facturen, contracten, e-mails en beheerscripts voor iedereen in te zien waren. Het bedrijf zegt het lek inmiddels gedicht te hebben en geen misbruik te hebben aangetroffen.
Het Duitse Nextcloud, bekend van zijn open-source alternatief voor onder andere Google Drive en Dropbox, heeft te maken met een datalek. Onderzoekers van Cybernews stuitten op een publiek toegankelijke Elasticsearch-database, waarin in totaal een kleine 8GB aan data was te vinden.
De oorzaak lag in een misconfiguratie van de hostingomgeving. Het onderzoeksteam ontdekte de blootgestelde dataset op 18 mei en Nextcloud sloot de toegang binnen twee dagen af.
Wat is er precies gelekt?
Volgens Cybernews en FutureProof gaat het onder andere om facturen en contracten met klant- en bedrijfsgegevens, interne e-mails en persoonsgegevens van medewerkers. Ook setup- en beheerscripts voor het uitrollen van Nextcloud-infrastructuur zaten ertussen.
Juist die scripts en e-mailgegevens zijn gevoelig. Ze kunnen aanvallers helpen om overtuigende phishingmails op te stellen of om klantsystemen af te tasten op zwakke plekken. Klantservers zijn volgens Nextcloud niet blootgesteld geweest, benadrukt het bedrijf. Het incident bleef beperkt tot interne data in de hostingomgeving.
Nextcloud onderzocht de zaak direct na de melding en herstelde de onderliggende misconfiguratie. Ook stelde het bedrijf de betrokken toezichthouder voor gegevensbescherming op de hoogte. Volgens Nextcloud is er geen bewijs gevonden dat de data is ingezien of misbruikt voordat deze werd beveiligd.
Lees ook: Is Office.eu het plug-and-play alternatief voor Big Tech?
Uitgerekend een soevereiniteitsspeler
Nextcloud profileert zich nadrukkelijk als soeverein Europees alternatief voor Amerikaanse Big Tech. Het bedrijf werd recent genoemd als spil onder Euro-Office, het Europese antwoord op Microsoft Office en Google Workspace dat op 9 juni een stabiele release kreeg.
Ook overheden zetten in op het platform. Zo koos de Duitse deelstaat Mecklenburg-Vorpommern onlangs voor Nextcloud, met op termijn ruim 50.000 medewerkers. Nextcloud draait wereldwijd op zo’n half miljoen servers.
De Nextcloud-casus is technisch vergelijkbaar met andere lekken die Cybernews eerder registreerde: een niet-afgeschermde Elasticsearch-cluster die vanaf het open internet bereikbaar was. Qua omvang is dit lek met 367.000 records een stuk kleiner dan de miljardentellende credential-dumps die eveneens via zulke misconfiguraties naar buiten kwamen.