SearchLeak laat zien dat de rechten van je Copilot het echte datalekrisico zijn

Geschreven door BijzonderStrafrecht.nl

Varonis Threat Labs maakte op 15 juni 2026 een kwetsbaarheidsketen bekend in Microsoft 365 Copilot Enterprise Search, SearchLeak gedoopt, waarmee één klik op een ogenschijnlijk normale link gevoelige bedrijfsdata uit de Microsoft 365-omgeving van het slachtoffer kon laten weglekken. Microsoft heeft het lek begin juni gepatcht onder CVE-2026-42824. Het juridische punt verdwijnt daarmee niet: onder artikel 32 AVG blijft de organisatie die zo'n assistent inzet zelf verantwoordelijk voor de beveiliging van de verwerking, en een patch van één kwetsbaarheid bij de leverancier heft die plicht niet op.

Wat SearchLeak met Microsoft 365 Copilot deed

De aanval ketende drie zwakke plekken aan elkaar die los van elkaar weinig voorstellen, aldus BleepingComputer. De eerste is een prompt injection via de URL: de zoekparameter die bedoeld is voor een zoekterm, werd door Copilot gelezen als een instructie die het uitvoerde. Daardoor kon een aanvaller in de link verstoppen dat Copilot de mailbox moest doorzoeken en de gevonden tekst in de URL van een afbeelding moest zetten. De tweede is een timingfout bij het tonen van het antwoord, waardoor dat afbeeldingsverzoek al vertrok voordat de beveiliging van de uitvoer ingreep. De derde is een omleiding via de beeldzoekfunctie van Bing, een door Microsoft vertrouwd adres, waarlangs de gegevens de omgeving verlieten.

Een prompt injection is een instructie die een aanvaller binnensmokkelt in tekst die het model verwerkt, zodat het model die instructie opvolgt in plaats van de bedoelde opdracht. Dat is hier het scharnier: zonder die stap blijven de twee oudere webfouten ongevaarlijk. Omdat de link naar een echt microsoft.com-adres wees en de keten de hoogste ernstklasse kreeg, tekent The Hacker News aan dat gangbare antiphishingfilters er niet op aansloegen, dat het bij een proof-of-concept bleef zonder waargenomen misbruik, en dat de CVSS-scores uiteenlopen: 6,5 in de advisory van Microsoft tegen 7,5 in de nationale kwetsbaarhedendatabank.

Het risico schaalt mee met de toegangsrechten van de agent

Het nieuwe aan SearchLeak is de combinatie van een AI-specifieke zwakte met twee bekende webfouten: vertrouwde, makkelijk in te dammen problemen als SSRF en HTML-injectie worden pas een serieuze aanval wanneer prompt injection mogelijk is. Wat de keten echt zwaar maakte, zit elders. Copilot Enterprise werkt met de volledige rechten van de gebruiker, dus de aanvaller erfde alles waar die gebruiker bij kon: mail, agenda, en bestanden in SharePoint en OneDrive. De omvang van de schade was gelijk aan de reikwijdte van de assistent.

Bij TIL schreven we dat eerder over Mistrals agent Vibe: bij een agentische assistent verschuift de vraag van waar je data staat naar wat de agent mag zien en doen. SearchLeak is daar de illustratie van. Een assistent die diep in je mailboxen en documentopslag mag kijken, vergroot de impact van elke volgende fout, want het bereik van een incident is gelijk aan wat de agent mag benaderen.

Een patch ontslaat je niet van je eigen beveiligingsplicht

Artikel 32 AVG verlangt passende technische en organisatorische maatregelen van zowel de verwerkingsverantwoordelijke als de verwerker. De organisatie die Copilot uitrolt is verwerkingsverantwoordelijke; Microsoft treedt op als verwerker. De backendpatch dicht één gat, maar de plicht om het risico te blijven beoordelen en de toegang te begrenzen loopt door. Had een aanval als SearchLeak in een concreet geval persoonsgegevens geraakt, dan komt bovendien de meldplicht datalekken uit de artikelen 33 en 34 AVG in beeld, met termijnen die niet wachten op een leveranciersanalyse.

Het ligt voor de hand om zulke tools intern als hoog risico te behandelen. Onder de AI Act is die term gereserveerd voor de gebruiksdoelen uit Bijlage III, en de classificatie hangt af van het beoogde gebruik en de concrete functie van het systeem, niet van hoeveel data een tool kan benaderen. Een algemene kantoorassistent als Copilot valt daar doorgaans buiten. Intern als hoog risico inschalen is een verstandige keuze voor je risicobeheer; het presenteren als hoog-risicosysteem in de zin van de AI Act is een classificatiefout.

Voor organisaties die met materiaal onder het beroepsgeheim werken, weegt de toegangsvraag zwaarder. Copilot Enterprise draait in de eigen omgeving van het kantoor, met een verwerkersovereenkomst, precies het soort waarborg dat verwerking van vertrouwelijke stukken verdedigbaar maakt. SearchLeak laat zien dat ook die opzet een restrisico houdt via wat de agent mag bereiken.

Wat een organisatie nu kan vastleggen

Begin met de toegangsreikwijdte van elke AI-assistent in kaart te brengen: welke mailboxen, sites en bestanden indexeert hij, en staan die rechten ruimer dan het werk vraagt. Te brede rechten horen terug naar de bron. Leg de AI-laag vervolgens vast in je DPIA en je security reviews; veel van die documenten zijn opgesteld voordat Copilot werd uitgerold en noemen de assistent niet. Neem in je AI-beleid op wie gewaarschuwd wordt als de assistent gegevens ophaalt waar niemand om vroeg, en hoe dat aansluit op je incident response en je datalekprocedure. Maak in de afspraken met de leverancier hard wat de termijn is voor het patchen en melden van kwetsbaarheden, en bevestig dat jouw data niet wordt gebruikt om het model te trainen.

BijzonderStrafrecht.nl https://www.bijzonderstrafrecht.nl
Vorige

Een algoritme dat content stuurt, kost een platform de hostingvrijstelling
Volgende

DeepSeeks miljardenronde zet de Chinese staat aan boord en bevestigt het AVG-bezwaar tegen de publieke versie