MFT-datalekken blijven bestaan: Falen van verouderde architecturen blootgelegd

Het verhaal van managed file transfer-datalekken in de jaren 2020 is niet het verhaal van één slechte leverancier die een slecht jaar heeft. Het is het verhaal van een architectuurpatroon op categorieniveau dat voorspelbare mislukkingen veroorzaakt. De openbaarmaking op 30 april 2026 van CVE-2026-4670, een CVSS 9.8-authenticatieomzeiling in MOVEit Automation, en CVE-2026-5174, een gekoppeld privilege-escalatielek, maken het onmogelijk om dit patroon af te doen als pech.

Belangrijkste inzichten

1. De openbaarmaking in 2026 is de derde kritieke golf in drie jaar. Op 30 april maakte Progress twee kwetsbaarheden in MOVEit Automation bekend, waarvan één met CVSS 9.8. Er is geen workaround.
2. Dit is geen probleem van één leverancier. Cleo in december 2024, CrushFTP in maart 2025, Wing FTP in juli 2025 en opnieuw MOVEit in april 2026 — vier kritieke MFT-kwetsbaarheden in achttien maanden, verspreid over vier leveranciers.
3. De meeste MFT-incidenten zijn geen zero-days. Negenenvijftig procent van de organisaties kreeg het afgelopen jaar te maken met een MFT-gerelateerd incident, waarbij de problemen zich concentreerden rond versleutelde gegevens in rust, geen SIEM-integratie en gefragmenteerde systemen.
4. De impact wordt bepaald door architectuur, niet door patchsnelheid. Wanneer dezelfde kwetsbaarheidsklasse een gehard, single-tenant apparaat met defense-in-depth raakt, daalt de praktische impact met een orde van grootte — Log4Shell’s industriële CVSS 10 werd in zo’n omgeving beperkt tot CVSS 4.
5. De volgende patch is niet het antwoord. De architecturale keuze is of beveiliging een klantconfiguratielast is die is vastgeschroefd aan een webapplicatie die aan het internet hangt, of een producteigenschap van een gehard apparaat met één beleidssysteem en één auditlog.

Drie jaar. Elf bekendgemaakte CVE’s in de productlijnen van MOVEit. Vijf met een score van CVSS 9.0 of hoger. En bij elke golf golden dezelfde architecturale condities: een webapplicatie die aan het internet hangt, een door de klant beheerd besturingssysteem, een databaselaag waar de applicatie direct bij kon, en een bestandsopslag op dezelfde vertrouwensgrens als de rest.

De golf van 2023 haalde het nieuws. Op 27 mei van dat jaar begon de Cl0p-ransomwaregroep met massale uitbuiting van CVE-2023-34362, een CVSS 9.8 SQL-injectiekwetsbaarheid in MOVEit Transfer. Progress bracht vier dagen later een patch uit. Mandiant meldde later dat de gemiddelde tijd van initiële compromittering tot data-exfiltratie ongeveer vijf minuten bedroeg. Eind dat jaar waren meer dan 2.700 organisaties gecompromitteerd, waarbij persoonlijke gegevens van ongeveer 93 miljoen individuen werden blootgesteld. CISA schatte dat wereldwijd meer dan 8.000 entiteiten werden getroffen wanneer downstream-blootstelling werd meegerekend.

De golf van 2024 bestond uit twee authenticatieomzeilingen — CVE-2024-5805 en CVE-2024-5806, beide uiteindelijk beoordeeld met CVSS 9.1. De Shadowserver Foundation zag binnen enkele uren na de bekendmaking al pogingen tot uitbuiting. WatchTowr Labs publiceerde dezelfde dag werkende proof-of-concept-code. De bekendmaking van CVE-2025-2324 in 2025 trof de SFTP Shared Accounts-module. En het advies van 2026 maakte de cirkel rond: een CVSS 9.8-authenticatieomzeiling en een gekoppeld privilege-escalatielek in MOVEit Automation, waarbij Shodan meer dan 1.440 aan het internet blootgestelde instanties identificeerde, waaronder 16 verbonden met Amerikaanse staats- en lokale overheden.

Een leverancier heeft af en toe slechte code. Een categorie heeft altijd slechte architectuur.

Het cross-vendor patroon dat bewijst dat het architectuur is

Als MOVEit het enige datapunt was, zou de zaak indirect zijn. Dat is niet zo. In de achttien maanden van december 2024 tot april 2026 brachten vier afzonderlijke managed file transfer-platforms kwetsbaarheden met kritieke ernst uit, die elk binnen korte tijd na openbaarmaking werden misbruikt.

Cleo, december 2024. Cl0p maakte massaal misbruik van een kwetsbaarheidsketen in Cleo’s Harmony-, VLTrader- en LexiCom-producten. Meer dan 300 organisaties werden als slachtoffer opgeëist in de transport-, productie- en voedselvoorzieningsketens.

CrushFTP, maart 2025. Op een authenticatieomzeiling in CrushFTP-servers volgde een bekendmaking in juli 2025 die volledige overname van de server mogelijk maakte.

Wing FTP, juli 2025. Een niet-geauthentiseerde remote code execution-kwetsbaarheid via Lua-injectie leverde root- en SYSTEM-niveau privileges op.

MOVEit, april 2026. Het huidige advies. Geen workaround. Volledige upgrade van de installer vereist.

Het Dragos 2026 OT/ICS Cybersecurity Report plaatst dit patroon in operationele context. Ransomwaregroepen richtten zich in 2025 steeds vaker op ingenieursbureaus, OT-managed serviceproviders en ICS-apparatuurleveranciers — precies de klantenbasis die geconcentreerd is op legacy MFT-platforms. Cl0p’s uitbuiting van Cleo MFT, CrushFTP en later Oracle E-Business Suite, merkt Dragos op, liet zien hoe één kwetsbaarheid in breed ingezette bestandsoverdrachtsoftware operationele documenten, technische data en integraties tussen leveranciers en klanten kan blootstellen bij honderden industriële organisaties — zelfs als de aanvaller nooit direct een OT-netwerk aanraakt.

Dit is hoe architecturaal risico op categorieniveau eruitziet. De leveranciersnaam verandert. De faalmodus niet.

Wat 59% van de organisaties al weet uit ervaring

De meest opvallende bevinding in het Kiteworks Data Security and Compliance Risk: 2025 MFT Survey Report is dat het MFT-incidentenprobleem niet incidenteel is, en niet primair wordt veroorzaakt door zero-days. Negenenvijftig procent van de organisaties kreeg het afgelopen jaar te maken met een MFT-gerelateerd beveiligingsincident. Slechts 39 procent wist incidenten volledig te vermijden.

De uitsplitsing naar automatiseringsgraad is nog veelzeggender. Organisaties met minder dan 50 procent van de bestandsoverdrachten geautomatiseerd via MFT rapporteerden een incidentpercentage van 71 procent. Organisaties met 50-69 procent automatisering rapporteerden 61 procent. Bij 70-89 procent automatisering daalde het incidentpercentage naar 52 procent. En de 13 procent van de organisaties die 90-100 procent end-to-end automatisering bereikte, rapporteerde slechts 29 procent.

Het 2025 MFT Survey Report benoemt de tekortkomingen als drie structurele gaten. Het eerste is een encryptiegat: 76 procent van de organisaties versleutelt MFT-gegevens tijdens transport, maar slechts 42 procent versleutelt gegevens in rust met AES-256. Overheidsinstanties versleutelen slechts 8 procent van de opgeslagen MFT-gegevens. De zorgsector versleutelt 11 procent. De gegevens die in opslag staan — de gegevens waar aanvallers bij kunnen als er een MFT-kwetsbaarheid optreedt — zijn het minst beschermd.

Het tweede is een zichtbaarheidsgat. Drieënzestig procent van de organisaties heeft geen SIEM- of SOC-integratie met hun MFT-omgeving. Hun beveiligingscentrum monitort netwerkverkeer en endpoint-activiteit, maar bestandsoverdrachten — vaak met de meest gevoelige data van de organisatie — opereren in het donker.

Het derde is een complexiteitsgat. Tweeënzestig procent van de organisaties draait gefragmenteerde architecturen over MFT, e-mail, bestandsoverdracht en webformulieren. Elk hulpmiddel heeft zijn eigen beleid, eigen auditlog en eigen configuratie. Elk gat ertussen is een plek waar bewijs verdwijnt.

Dit zijn geen exotische kwetsbaarheden. Het zijn fundamentele controles die tien jaar geleden al standaard hadden moeten zijn.

Waarom de MFT-architectuur steeds op dezelfde manier faalt

Vier architecturale eigenschappen definiëren de legacy MFT-categorie, en elk daarvan is direct gekoppeld aan een gedocumenteerde faalmodus in het CVE-register.

Webapplicatie aan het internet blootgesteld. Elk legacy MFT-platform vereist een publieke webinterface voor partnertoegang. Die interface is het oppervlak waarlangs elke bekende SQL-injectie, elke authenticatieomzeiling, elk input-validatielek het platform heeft bereikt. Het is ook een oppervlak dat niet kan worden geëlimineerd zonder de kernfunctie van het product te breken.

Door de klant beheerde infrastructuur. Legacy MFT-platforms draaien op door de klant geharde Windows Server, IIS, SQL Server en klantgeconfigureerde netwerkcontroles. Beveiliging hangt af van het correct harden van elk onderdeel door de klant. Elke verkeerde configuratie is een potentiële CVE in de operationele omgeving. Elke patchcyclus is de verantwoordelijkheid van de klant om te coördineren.

Geen containment eenmaal binnen. Zodra een aanvaller remote code execution heeft in een legacy MFT-omgeving, is er niets dat de applicatielaag isoleert van de database, de bestandsopslag of de cloudopslag-credentials. De impact is het hele platform. De Cl0p-aanvalsketen van 2023 liet dit genadeloos zien: SQL-injectie in de weblaag legde sysadmin-tokens bloot, een deserialisatiekwetsbaarheid zette het token om in remote code execution, en een custom ASP.NET-webshell genaamd LEMURLOOT proxiede exfiltratie via aangepaste HTTP-headers. Niets in die keten bood serieuze weerstand op laagniveau.

Geen workaround, alleen volledige patchcyclus. Elke bekendgemaakte MOVEit-CVE vereiste een volledige installer-upgrade. In meerdere gevallen werd uitbuiting binnen enkele uren na bekendmaking waargenomen. De cyclus stapelt zich op: hoe langer het platform in productie blijft, hoe meer CVE’s zich opstapelen en hoe moeilijker het wordt om het voortzetten ervan te verdedigen.

Het Kiteworks Data Security and Compliance Risk: 2026 Forecast Report vat het bredere categorieprobleem zo samen: legacy-infrastructuur ondersteunt geen modern gegevensbeheer. Gescheiden bestandsoverdracht en decennia-oude MFT-oplossingen missen de beveiligingsmogelijkheden om containmentcontroles, audittrails van bewijskwaliteit of soevereiniteitsgarantie te bouwen. Het 2026 Forecast Report vond dat slechts 39 procent van de organisaties een uniforme gegevensuitwisseling met handhaving heeft; 34 procent heeft gedeeltelijke dekking met gaten; 16 procent gebruikt alleen kanaalspecifieke oplossingen; 11 procent heeft minimale of geen governance.

Eenenzestig procent van de organisaties probeert audittrails van bewijskwaliteit te bouwen op gefragmenteerde infrastructuur. De infrastructuur kan niet leveren wat de toezichthouder nu verwacht.

Wat de toezichthouders doen met het patroon

Elke MFT-datalek creëert een regulatoir dossier. En toezichthouders worden steeds beter in het lezen van die dossiers.

De SEC startte op 2 oktober 2023 een formeel onderzoek naar Progress Software na de Cl0p MOVEit-campagne. Volgens SEC Item 1.05 moeten beursgenoteerde bedrijven materiële cyberincidenten binnen vier werkdagen melden op Form 8-K. Die klok begint te lopen zodra het bedrijf concludeert dat het incident materieel is — en na Cl0p heeft de SEC duidelijk gemaakt dat vertragingen in de beoordeling van materialiteit zelf onder de loep liggen.

In de zorgsector rapporteerde Centers for Medicare and Medicaid Services het aan MOVEit gekoppelde datalek dat 3,1 miljoen individuen trof aan het HHS Office for Civil Rights. De HIPAA Security Rule’s “reasonable safeguards”-norm bij 45 CFR §164.308 is het regulatoire kader, en OCR-boetes kunnen oplopen tot $2,1 miljoen per jaar per overtredingsniveau.

In de EU vereist GDPR Artikel 32 technische en organisatorische maatregelen die passen bij het risico, en de NIS 2-richtlijn, van kracht sinds oktober 2024, voegt daar een 24-uurs vroegtijdige waarschuwing en een 72-uurs incidentmeldingsplicht aan toe. De boete van £14 miljoen die de Britse ICO in oktober 2025 aan Capita oplegde, verwees direct naar Artikel 32.

In Australië verhoogde de Privacy Amendment Act 2024 de maximale civiele boetes tot AUD 50 miljoen of 30 procent van de aangepaste omzet voor ernstige of herhaalde schendingen van privacy. Het aantal meldingen van datalekken bij het Office of the Australian Information Commissioner steeg in 2024 met 25 procent ten opzichte van het jaar ervoor.

De vraag van de toezichthouder, na drie kritieke MFT-golven in drie jaar, is niet of het datalek te voorzien was. Het is of het blijven gebruiken van een platform met dat disclosure-record geldt als een redelijke beveiligingsmaatregel.

Het architecturale alternatief

Het ene legacy MFT-product inruilen voor het andere zet de patchcyclus opnieuw aan zonder het onderliggende model te veranderen. Het architecturale antwoord is een ander model.

Kiteworks consolideert gegevensuitwisseling — e-mail, bestandsoverdracht, SFTP, MFT, webformulieren, API’s en AI-integraties — op één gehard virtueel apparaat met één beleidssysteem en één auditlog. Het apparaat wordt geleverd met een ingebouwde netwerkfirewall, een ingebouwde webapplicatie-firewall, een ingebouwd inbraakdetectiesysteem en een uitgekleed besturingssysteem dat door Kiteworks wordt beheerd. Klanten configureren het besturingssysteem niet. Ze beheren de database niet. Ze patchen de onderliggende stack niet apart. Met één klik worden volledige systeemupdates uitgevoerd — applicatie, runtime, OS, libraries — in één gecoördineerde operatie.

Binnen dat apparaat isoleert een gelaagde architectuur de weblaag van de database en de bestandsopslag. Een gecompromitteerde applicatielaag kan de database niet direct bevragen of bestandsniveau-sleutels afleiden. Bestanden in rust worden beschermd door twee onafhankelijke encryptielagen — op bestandsniveau plus schijfniveau — met FIPS 140-3 gevalideerde cryptografische modules. TLS 1.3 beschermt gegevens tijdens transport. Optioneel klantgestuurd sleutelbeheer is beschikbaar voor soevereiniteitsgevoelige workloads.

Het administratiemodel is hier ook belangrijk. In legacy MFT is de beheerdersconsole het besturingssysteem zelf. Beheerders hebben toegang tot servercode, het bestandssysteem en de mogelijkheid om applicaties te installeren. Een aanvaller die de beheerdersconsole bereikt, bereikt alles. In het Kiteworks-model hebben beheerders geen toegang tot het besturingssysteem, bestandssysteem, applicatiecode of database. De beheerdersconsole is een webinterface met strikte rolgebaseerde toegangscontrole. Beheerfuncties manipuleren het systeem alleen via specifieke API-calls. Beheerders kunnen geen software installeren op het apparaat.

Defense-in-depth is in deze architectuur geen theorie. Tijdens het Log4Shell-incident in december 2021 was de industriële CVSS-score voor het onderliggende Log4j-lek 10.0. Binnen het Kiteworks-apparaat reduceerden gelaagde controles de praktische impact tot CVSS 4.0 voordat de formele patch arriveerde. De volgende kritieke CVE zal zich niet aankondigen. Wat de impact bepaalt, is de architectuur die aanwezig is als het gebeurt.

Wat organisaties met legacy MFT nu moeten doen

Ten eerste, patch direct. Als u MOVEit Automation gebruikt, upgrade dan naar 2025.1.5, 2025.0.9 of 2024.1.8 met de volledige installer. Progress bevestigt dat er geen workaround is voor CVE-2026-4670 of CVE-2026-5174. Dezelfde urgentie geldt voor elke legacy MFT-omgeving die nog op een ondersteunde patchcyclus zit — het venster tussen bekendmaking en uitbuiting wordt bij meerdere leveranciers in uren gemeten.

Ten tweede, audit het gat. Kiteworks Data Security and Compliance Risk: 2025 MFT Survey Report vond dat 63 procent van de organisaties geen SIEM-integratie heeft met hun MFT, 58 procent versleutelt MFT-gegevens in rust niet met AES-256, en 33 procent heeft geen op attributen gebaseerde toegangscontrole ingevoerd. Breng uw huidige MFT-omgeving in kaart ten opzichte van deze drie controles voordat de volgende bekendmaking het gesprek onder druk forceert.

Ten derde, inventariseer de kanalen. De meeste organisaties wisselen gevoelige gegevens uit via vijf tot tien verschillende tools — beveiligde e-mail, bestandsoverdrachtplatforms, SFTP-servers, MFT, webformulieren, API’s en steeds vaker AI-integraties. Data uit het Kiteworks 2026 Forecast Report laat zien dat 61 procent van de organisaties een gefragmenteerde infrastructuur voor gegevensuitwisseling heeft, waardoor audittrails van bewijskwaliteit niet op de huidige basis kunnen worden gebouwd. Inventariseer elk kanaal waar gereguleerde data uw perimeter verlaat en vraag vervolgens welke een beleidssysteem delen en welke niet.

Ten vierde, zet architectuur op de planningscyclus. Migratie weg van een legacy MFT-platform is een echt project met echte tijdlijnen. Het doel is niet om in één kwartaal te migreren. Het doel is om het architecturale alternatief op de volgende begrotingscyclus, architectuurreview of grote MFT-upgradewindow te zetten — voordat het CVE-record van het platform het gesprek als noodsituatie forceert. Data uit het Kiteworks 2025 MFT Survey Report laat zien dat de 13 procent van de organisaties met 90-100 procent automatisering minder dan de helft van het incidentpercentage rapporteert van organisaties die nog veel handmatige workflows beheren. De investering in consolidatie betaalt zich binnen één disclosurecyclus terug.

Ten vijfde, meet het juiste. Patchsnelheid is niet de maatstaf. Impact is de maatstaf. Twee organisaties die door dezelfde CVE worden getroffen, hebben verschillende uitkomsten als de één een gehard single-tenant apparaat draait en de ander een door de klant beheerde webapplicatie op een vlakke vertrouwensgrens. Volgens Black Kite’s 2026 Third-Party Breach Report is de mediane vertraging bij bekendmaking van een datalek bij derden 73 dagen. De architectuur die de blootstelling tijdens die 73 dagen beperkt, bepaalt de regulatoire en reputatie-uitkomst.

Het MOVEit-verhaal gaat niet over Progress Software. Het gaat over een categorie gegevensuitwisselingsarchitectuur die het einde van zijn verdedigbare levensduur onder moderne dreigingsomstandigheden heeft bereikt. De volgende kritieke MFT-kwetsbaarheid wordt al ontdekt. Wat bepaalt in welke krantenkop u verschijnt, is het platformmodel dat u koos voordat de bekendmaking plaatsvond.