Op 27 april 2026 hebben wij een beveiligingskwetsbaarheid geïdentificeerd en verholpen die mogelijk beperkte klantgegevens heeft blootgesteld. Van in totaal 59 klanten zijn de gegevens gelekt. Deze post is de publieke documentatie van wat er is gebeurd, welke gegevens toegankelijk waren, en wat er nu volgt.
Greenhost probeert openlijk te informeren wanneer dingen mis gaan, bijvoorbeeld toen we grote storingen hadden in 2018 en 2021. Wij schrijven deze blogpost omdat transparantie leuk is wanneer alles goed gaat, maar vooral heel belangrijk op de ongemakkelijke momenten.
Dit is wat er is gebeurd
Op 2 Augustus 2023 is een verborgen API-adres geïntroduceerd. Deze was bedoeld om alleen toegankelijk te zijn voor Greenhost-medewerkers, om klanten accounts te kunnen vinden. Bij de introductie is een fout gemaakt in de toegangscontrole waardoor dit voor vrij toegankelijk was. Gedurende ongeveer twee jaar werd het kwetsbare adres niet gebruikt of genoemd in publiek toegankelijke code. Hierdoor was het theoretisch mogelijk om toegang te krijgen tot de data, maar omdat hiervoor de juiste URL moest worden geraden achten wij de kans dat dit is gebeurd zeer klein. Helaas reiken onze loggegevens niet ver genoeg terug om dit met zekerheid uit te sluiten.
Vanaf september 2025 werd het adres (URL) genoemd in de broncode, waardoor het vindbaar werd door hackers of bots.
Op 25 april 2026 merkte een beveiligingsonderzoeker het kwetsbare adres (URL) op. Deze heeft gegevens van een paar klanten ingezien om de omvang van het probleem vast te stellen. Dit is in het weekend direct gemeld via ons responsible disclosure programma. Op de volgende werkdag, 27 april, hebben wij het rapport bevestigd en de kwetsbaarheid gedicht. Op 29 april is het incident gemeld bij de Autoriteit Persoonsgegevens.
Welke data was toegankelijk
Blootgestelde gegevens (aanvullende informatie in voetnoten) * Bedrijfsnaam, of persoonlijke naam (in het geval van een particulier account) * Facturatie e-mailadressen * Bij ons opgeslagen IBAN-gegevens * Lijst van actieve domeinregistraties * Greenhost-opmerkingen
Wat is niet gelekt
- Inlognamen
- Wachtwoorden
- Klantadressen
- Telefoonnummers
- IBAN-/betalingsgegevens opgeslagen bij onze externe betalingsprovider
- Overige contract- of cloudklantgegevens
- Contactpersonen en/of hun gegevens
Wie is er getroffen
Door het analyseren van de logs zien we dat er 20 klanten zijn wiens gegevens zijn opgevraagd door geautomatiseerd bot verkeer. We herkennen hierin een patroon dat overeenkomt met het breed scannen van websites, en geen gerichtte activiteit. Van nog eens 39 klanten is de data bekeken door de security researcher, om de omvang van de kwetsbaarheid te bevestigen.
Er is verder niets dat duidt op actief misbruik van de toegang tot deze gegevens. De 59 klanten wiens gegevens zijn opgevraagd hebben we daarvan al via een e-mail op de hoogte gebracht.
Hoe is dit gebeurd
Deze kwetsbaarheid is ontstaan door inconsistenties in toegangscontrolemechanismen tussen verschillende systemen. Het risico van het gebruik van twee verschillende methoden was al bekend en werd actief herzien. Greenhost zal hoge prioriteit geven aan het afronden van deze verbeteringen.
Beschouwing
Het eerlijke oordeel is dat dit niet had mogen gebeuren. Het proces waarin deze kwetsbaarheid is ontstaan is niet gelopen zoals wij vinden dat dat wij dit moeten doen. Wij schamen ons dan ook dat dit wel zo is gelopen. Privacy en security zijn niet slechts beloftes op een website voor ons. Wij voelen dit als serieuze verantwoordelijkheden, en helaas is het ons deze keer niet gelukt die verantwoordelijkheden na te komen.
Naast de verontschuldigen die we onze klanten hebben aangeboden zijn er nog twee dingen die we in dit licht graag willen benoemen:
Als eerste willen we het minimaliseren van data bespreken. De meest betrouwbare manier om klanten data te beschermen is door zo min mogelijk gegevens te bewaren. Al voor dit incident hebben we stappen genomen om de informatie die we verzamelen bij het aanmaken van een account te beperken, en zijn we bezig geweest met het verwijderen van eerder verkregen informatie. Hier gaan we met hernieuwde focus mee door. Minder data in onze administratie betekent dat er minder kan lekken als er iets mis gaat. Dit is de meest praktische vorm van "Privacy by Design": Dagelijks beslissingen over welke informatie we om vragen, wat we daarvan ook moeten bewaren, en hoe lang we dit moeten bewaren.
Het tweede punt heeft te maken met het concept "responsible disclosure". De reden dat deze kwetsbaarheid op deze manier aan het licht is gekomen, en niet doordat er misbruik van is gemaakt, is dat de persoon die dit heeft ontdekt er voor heeft gekozen om dit aan ons te melden. Wij hebben een responsible disclosure beleid opgesteld met het doel dergelijke ethische hacks te faciliteren en aantrekkelijk te maken. In dit geval heeft dit precies zo gewerkt als we voor ogen hadden. Dergelijke programma's zijn een belangrijke factor om een Open Internet mogelijk te maken. Het is gebaseerd op wederzijds vertrouwen tussen onderzoekers en aanbieders, en de rol van dergelijke programma's wordt over het algemeen onderschat.
De naam van de researcher die de kwetsbaarheid bij ons heeft gemeld is Shubham Bothra. Hij heeft het endpoint geidentificeerd, een minimale hoeveelheid data gedownload waarmee hij precies kon aangeven hoe groot het probleem zou kunnen zijn, duidelijk en helder naar ons gecommuniceerd, en nog aangeboden om mee te helpen het lek te dichten. Dit was helemaal in lijn met hoe wij de responsible disclosure procedure bedacht hadden. Wij hebben hem hier een beloning van € 2.000 voor gegeven (de maximale beloning onder ons programma), en we zijn hem dankbaar voor de zorgvuldigheid en de professionaliteit van zijn inbreng. Hij staat uiteraard ook genoemd in de Hall of Fame waar we ook eerdere toegewezen beloningen vermelden.
Vervolgstappen
Naast het dichten van de kwetsbaarheid en het melden aan onze klanten en de authoriteit persoonsgegevens willen we de volgende zaken aanpakken:
- Hogere prioriteit geven aan het opnieuw inrichten van de toegangsrechten, waar we al mee bezig zijn.
- Doorgaan met het terugbrengen van de hoeveelheid klantdata die wij opslaan.
- Herevalueren van de interne processen waarmee nieuwe features worden gereviewd, en dan met name features die alleen voor personeel bedoeld zijn.
- Onderzoeken welke gegevens we moeten loggen, en wat de bewaartermijn van die logs moet zijn, om incidenten zoals deze goed te kunnen onderzoeken, waarbij we wel binnen ons principe blijven van alleen die gegevens opslaan die nodig zijn.
Wij realiseren ons dat we geschonden vertrouwen niet kunnen herstellen met een blogpost. Wij kunnen proberen dit te herstellen door het werk wat hieruit voortkomt, door vervolgstappen en volgende beslissingen, en door ook een volgende keer dat er iets mis gaat transparant te communiceren. Daar richten we ons dus de komende tijd weer extra op.
Als er nog vragen of zorgen zijn, dan zijn wij als altijd bereikbaar via support@greenhost.nl of via ons contactformulier.
— Namens iedereen bij Greenhost