First click here and then choose your language with the Google translate bar at the top of this page ↑
Nou, dat zou wel eens kunnen tegenvallen. Cloud hosting providers zoals Microsoft, Amazon en Google hanteren namelijk een model van gedeelde verantwoordelijkheid. De cloud provider is verantwoordelijk voor de fysieke beveiliging van het datacenter, de koeling, de infrastructuur, het correct functioneren van de hardware tot het beveiligen van het Operating System van zijn PaaS services. De gebruiker van de cloud staat in voor een correcte configuratie van de PaaS-services in de cloud, voor de encryptie van de data en voor het het niet publiek beschikbaar maken van wat enkel voor intern gebruik bedoeld is.
Samengevat: de gebruiker staat in voor de beveiliging van de eigen toepassing en content, en de cloud providers staan in voor de beveiliging van hun platform.
Ook dan lijkt er nog niet zo veel aan de hand. De cloud providers ontfermen zich nog steeds om het leeuwendeel van de security. De cloudomgeving van de gebruiker is in goede handen, want de cloud providers hebben meer ervaring en geschoold personeel om zichzelf én de klanten die gebruik maken van hun platform te beveiligen. Dat is ook vaak een belangrijke reden geweest voor gebruikers om voor een cloudomgeving te kiezen. Zij gaan er dan ook graag van uit dat ze zich over security geen zorgen meer om hoeven te maken.
Topdoelwit voor cybercriminelen
Echter is die beveiliging van het cloudplatform het afgelopen jaar onder druk komen te staan. Dat begon met een aantal security-onderzoekers die in 2021, door de toenemende populariteit van de cloud, deze platforms grondiger bestudeerden. Zo kwamen ‘vulnerabilities’ of kwetsbaarheden aan het licht die eigenlijk al lang aanwezig waren maar nooit eerder werden opgemerkt.
De populariteit van cloudplatformen werd zo plotseling een bedreiging op zich, omdat cybercriminelen met het exploiteren van slechts één kwetsbaarheid vele duizenden slachtoffers konden maken. De grote cloudproviders hebben de capaciteit om de kwetsbaarheden snel en op grote schaal te dichten. Maar het geeft wel aan dat cloudgebruikers op hun hoede moeten blijven en zelf maatregelen moeten nemen om hun omgeving te beveiligen. Want hoe beter gebruikers hun eigen omgeving beveiligen, hoe kleiner de impact van een kwetsbaarheid in het cloudplatform op die eigen omgeving.
Het geheel is groter dan de som der delen
Wat kunnen cloud klanten dan precies doen om het gevaar zoveel mogelijk in te dammen? Laten we de vergelijking maken met een deur. Het beveiligen van een bedrijfsdomein moet net zo vanzelfsprekend zijn als het op slot doen van de deur en het inschakelen van het alarm bij vertrek. Alleen, in de huidige digitale wereld volstaat materiële beveiliging niet meer. Fysieke toegang is niet de grootste zorg, in plaats daarvan manifesteren bedreigingsvectoren zich online via onbeheerde en alomtegenwoordige internetverbindingen en breiden zij zich uit via de clouds die worden gebruikt voor allerlei toepassingen, workloadbeheer en opslag. En elke cloud heeft meerdere in- en uitgangen. Een bedrijf wat naar de cloud gaat, heeft dus aanzienlijk meer metaforische deuren waar een indringer doorheen kan, omdat elke cloudleverancier die wordt gebruikt meerdere in- en uitgangen heeft. En de uitdaging wordt steeds groter; in een recent rapport over cloudbeveiliging heeft 76% van de respondenten ingezet op 2 of meer clouds (tegenover 62% in 2021).
Een optimale beveiliging bestaat uit een reeks onderdelen die in elkaar passen: denk aan de deur, de scharnieren, handgrepen, sloten, grendels, sleutels, enz. Zonder een van deze elementen is een deur niet volledig bruikbaar - het geheel is groter dan de som der delen. Dit geldt ook voor cloudbeveiliging.
Beveiliginginstellingen op maat van de omgeving
Ga daarom eens na welke specifieke beveiliging uw omgeving nodig heeft en pas de security-instellingen hierop aan - of vraag hierover advies. Hou er ook rekening mee dat de configuratie kan veranderen, en dat de oorspronkelijke security-instellingen ook af en toe moeten worden geactualiseerd. Dat wordt duidelijk aan de hand van het volgende voorbeeld.
In augustus 2021 kwamen, mede door een veranderde focus van security onderzoekers op cloud, kritieke kwetsbaarheden aan het licht in Azure Cosmos DB, de belangrijkste NoSQL database service van het Microsoft Azure platform. Door deze in 2019 reeds geïntroduceerde kwetsbaarheid – met de gevatte naam ChaosDB - konden Microsoft Azure klanten of aanvallers met een gecompromitteerd Azure account, twee jaar lang toegang krijgen tot de ‘beschermde’ omgeving van andere Azure-klanten, en dus tot alle klanteninformatie en andere vertrouwelijke gegevens.
Een potentiële ramp voor alle Azure Cosmos DB gebruikers die de standaardbeveiliging van deze service onvoldoende opgekrikt hadden door bijvoorbeeld de netwerktoegang tot de database onvoldoende te beperken. Dat is dan ook het algemene advies van cloud en security providers: voorzie voor elke toepassing en elke achterliggende database enkel toegang voor wie het echt noodzakelijk is.
Continue opvolging nodig
Bedrijven moeten zich ook bewust zijn van de continue opvolging die nodig is. Microsoft installeert bijvoorbeeld onopgemerkt ‘secret agents’ (kleine beheerprogramma’s) op Azure Linux machines om deze te optimaliseren. Deze werken volledig op de achtergrond en de meeste klanten weten zelfs niet dat die er zijn. Wanneer op een van die agents een kwetsbaarheid wordt ontdekt, moeten alle agents worden geüpgraded. Maar die upgrade moeten de klanten zelf uitvoeren. Zij worden dus gevraagd om een agent te upgraden waarvan ze niet eens wist dat ze die hadden. En daarvan worden ze op de hoogte gebracht met een notification zoals er dagelijks vele passeren. De kans is dus vrij groot dat dit onopgemerkt voorbijgaat en dat de kwetsbaarheid niet wordt weggewerkt.
Niet alleen Microsoft Azure vertoont kwetsbaarheden, ook Amazon AWS en Google Cloud hebben al geregeld patches en upgrades nodig gehad. Wie een idee wil krijgen van alle kwetsbaarheden die men al heeft aangetroffen en voor welke cloud platforms, kan hier een kijkje nemen: https://www.cloudvulndb.org/. De lijst is lang en het tempo lijkt alleen maar toe te nemen. Het toont zelfs voorbeelden hoe Microsoft zijn eigen documenten op de cloud onbeschermd had gelaten. Andere bronnen die een goed overzicht van de stand van zaken bieden, zijn cloud provider ‘bulletins’ van Microsoft (https://msrc.microsoft.com/update-guide/vulnerability), AWS (https://aws.amazon.com/security/security-bulletins), of Google (https://cloud.google.com/support/bulletins).
De (schijn)veiligheid van de cloud kan voor mkb’s een hoofdpijndossier vormen. Wie liever toch op beide oren slaapt en zijn aandeel in de securityverantwoordelijkheid uitbesteedt wegens te weinig tijd of kennis, kan terecht bij een security partner met een specifieke oplossing die de detectie van kwetsbaarheden op uw cloudomgeving beheert en tegelijk ook de juiste reactie voorstelt of uitvoert in geval van een probleem.
Bron: google.com, amazon.com, microsoft.com, cloudvulndb.org, bleepingcomputer.com, checkpoint.com, winmagpro.nl | Geert De Ron, Cloud Security Architect
Meer actueel nieuws
Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico
De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.
Gezocht: koerier na bankhelpdeskfraude in Veenendaal en Almere
Een vrouw uit Veenendaal werd op 27 februari 2026 slachtoffer van bankhelpdeskfraude. Een nepbankmedewerker belde haar op, waarna een koerier aan de deur kwam en haar gouden ringen, gouden kettingen, contant geld en bankpas meenam. Met de buitgemaakte pinpas werd vervolgens gepind in winkels en bij geldmaten in Veenendaal en Almere. In totaal werd ruim 5.500 euro afhandig gemaakt. De politie zoekt de verdachte koerier.
Apt73 raakt twee Belgische organisaties, ChipSoft claimt data vernietigd en LiteLLM actief misbruikt
De maandag en dinsdag van 27 en 28 april 2026 leverden drie ontwikkelingen op die de discussie van de afgelopen weken doortrekken. De ransomwaregroep Apt73 plaatste op een dag twee Belgische organisaties op het lekplatform, een Oost-Vlaams staalbedrijf en een Waalse zorggroep met meerdere ziekenhuizen. ChipSoft meldde dat de eerder deze maand gestolen patiëntengegevens niet zijn gepubliceerd en volgens eigen onderzoek zijn vernietigd, een claim die volledig leunt op de mededeling van de aanvaller. En de open source LLM proxy LiteLLM wordt sinds ongeveer 36 uur na publieke disclosure actief misbruikt om API sleutels van OpenAI, Anthropic en Bedrock te stelen. Daarnaast bevestigde Vimeo een datalek via het analyseplatform Anodot, lekte LAPSUS$ 96 GB Checkmarx data ook via clearnet portals en werden tientallen Visual Studio Code extensies op Open VSX besmet met de GlassWorm credential stealer. Drie supply chain aanvallen op een week tijd, plus een data lek bij AI trainingsbedrijf Mercor van 4 TB stemopnamen gekoppeld aan paspoorten van 40.000 contractors.
ShinyHunters bij ADT en Udemy, DigiD blijft bij Solvinity en Palantir bij de Marechaussee
Het weekend van 24 tot en met 26 april 2026 leverde drie ontwikkelingen op die de discussie van eerdere weken doortrekken. ShinyHunters publiceerde binnen 24 uur twee grote slachtoffers, ADT en Udemy, beide via vishing tegen een SSO-account. Het kabinet besloot daarnaast om DigiD bij Solvinity te houden, ondanks Kamerverzet en een aangekondigde Amerikaanse overname. En WOO stukken openbaarden dat de Koninklijke Marechaussee jarenlang gebruik maakte van Palantir, terwijl de minister dat in een Kamerantwoord ontkende. Daarnaast staan in Nederland en België 3.793 Zimbra servers ongepatcht, voegde CISA vier actief misbruikte CVE's toe aan de Known Exploited Vulnerabilities catalogus en publiceerde Silverfort een privilege escalation in Microsoft Entra Agent ID die inmiddels is gepatcht.
ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER
Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.
Odido massaclaim, Vercel via AI tool en Kentico direct actief misbruikt
Maandag en dinsdag brachten twee tempoverhogingen in het Nederlandse en Belgische dreigingsbeeld. Consumers United in Court startte maandag een collectieve rechtszaak tegen Odido waarin de meldplicht en de bewaartermijn van miljoenen gegevens centraal staan, diezelfde dag dook een dataset met 400.000 Bol.com klantrecords op hackfora op. Dinsdag maakte Vercel openbaar dat een AI-presentatietool op één medewerkersapparaat het startpunt was van een complete Google Workspace overname, losgeldeis twee miljoen dollar via de ShinyHunters-persona. CCB Belgium en CISA KEV zetten tegelijkertijd drie CVE's in het rood waarvan JetBrains TeamCity een EPSS van 92 procent scoort, Kentico Xperience een CVSS van 9.8 kent en PaperCut NG/MF als ransomwarevector bekend staat. Kaspersky analyseerde de voorheen ongedocumenteerde Lotus wiper die medio december 2025 Venezolaanse energie- en nutsbedrijven trof, en de Franse identiteitsdocumenten-instantie ANTS bevestigde een datalek waarbij een dreigingsactor op hackfora claimt tot negentien miljoen records te bezitten. BeyondTrust publiceerde het dertiende Microsoft Vulnerabilities Report waarin de kritieke kwetsbaarheden in 2025 verdubbelden ondanks een daling in totaal aantal. De Noord-Koreaanse actor UNC1069 en Kaspersky's analyse van FakeWallet in de Chinese Apple App Store onderstrepen dat cryptocurrency en Web3 professionals een hoofddoel blijven.