Nextcloud, provider cloud europeo noto per la sua piattaforma open source di cloud privato, ha lasciato esposto su Internet un database non protetto contenente dati interni e informazioni legate ai clienti. La scoperta riguarda circa 367.000 record, pari a 8 GB di dati, accessibili a chiunque sapesse dove cercare.
Il caso è emerso a metà maggio 2026, quando i ricercatori di sicurezza di Cybernews hanno individuato un cluster ElasticSearch pubblicamente raggiungibile. Dopo un'analisi più approfondita, il dataset si è rivelato composto da un insieme eterogeneo di documenti: dati dei dipendenti Nextcloud, informazioni su aziende clienti, contratti e script realizzati per i clienti della società.
Nextcloud è una piattaforma free e open source che consente a organizzazioni e utenti di costruire un proprio cloud privato. Viene spesso descritta come alternativa a Google Drive e Microsoft 365, soprattutto per chi vuole mantenere maggiore controllo sulla collocazione dei dati. Proprio questa posizione nel mercato rende particolarmente delicato un episodio che coinvolge configurazioni infrastrutturali e informazioni potenzialmente sensibili.
La maggior parte dei file esposti era in formato PDF, con circa 71.000 elementi. Seguivano immagini PNG, circa 53.000, e file MD, circa 23.000. Tutti i record risultavano concentrati in un singolo indice, con contenuti che in alcuni casi rivelavano informazioni sulle aziende clienti e dati relativi allo staff di Nextcloud.
Una parte delle informazioni era anche non cifrata. Tra gli elementi leggibili figuravano indirizzi email dei dipendenti, nomi e indirizzi di aziende clienti e indirizzi email di persone che avevano inviato fatture a Nextcloud. Non si tratta quindi soltanto di metadati tecnici: il perimetro includeva dati operativi e amministrativi, elementi che possono essere usati per ricostruire relazioni commerciali o tentativi di contatto mirati.
Dopo la segnalazione di Cybernews, Nextcloud ha chiuso l'accesso all'archivio entro due giorni e ha notificato le autorità competenti. L'azienda ha dichiarato di non aver trovato prove di accessi non autorizzati. Allo stesso tempo, senza un'analisi forense approfondita, non è possibile stabilire con certezza se soggetti esterni abbiano effettivamente consultato o copiato i dati prima della messa in sicurezza.
I ricercatori hanno osservato che, se il dataset è stato individuato dal loro team, anche attori malevoli avrebbero potuto scoprirlo. Gli attaccanti utilizzano bot automatizzati per scandagliare la rete alla ricerca di database mal configurati e archivi esposti da cui estrarre dati. È uno scenario ricorrente nella sicurezza cloud: non serve una vulnerabilità sofisticata quando un indice o un servizio rimane aperto sulla rete pubblica.
Nextcloud ha ricondotto l'incidente a un problema di misconfigurazione della propria infrastruttura di hosting, precisando che non riguarda la soluzione Nextcloud in sé. La società ha inoltre indicato che altri server Nextcloud appartenenti a clienti, partner o utenti non sono stati coinvolti. La distinzione è centrale per imprese e amministrazioni che adottano software open source in ambienti cloud: la sicurezza del prodotto e quella della configurazione operativa restano piani diversi, ma entrambi finiscono per determinare il rischio reale.