We zijn gehackt: en daar hebben we zelf om gevraagd..

De door ons ontwikkelde websites en ons eigen CMS systeem zijn daar geen uitzondering op. Veiligheid is een onderwerp welke altijd centraal staat in de ontwikkeling van datgene wat we doen. Onze systemen en oplossingen zijn dusdanig dat de we de kans op succesvolle hacks tot het minimum hebben beperkt (nog nooit is data gecompromitteerd uit onze systemen). We maken onszelf echter geen illusies; zelfs de meest beveiligde platformen kunnen kwetsbaarheden bevatten.

De responsible disclosure methode

Vandaar dat wij naast de inzet van onze eigen security specialist, onze vaste externe security adviseur, en een frequente Pentest (penetratietest, bedoeld om kwetsbaarheden aan het licht te brengen) vanuit een hogeschool ook nog een stapje verder wilden gaan. De methode waar we voor gekozen hebben, is de zogenaamde ‘responsible disclosure’ (deze hadden we al, maar droegen we niet actief uit). Hiermee nodig je feitelijk de wereldwijde community van hackers uit om op zoek te gaan naar kwetsbaarheden in je eigen systeem. Stiekem best een spannende stap, omdat we hebben gekozen voor de variant waarbij we ze uitnodigen tot actieve inzet.

Hoewel we veel vertrouwen in ons eigen product hebben, zijn er methodes die ook voor ons nieuw kunnen zijn. Vooraf hebben we meerdere categorieën gedefinieerd, variërend van zaken met heel weinig risico tot hele grote gevaren voor onszelf en voor onze klanten. Feitelijk spreek je met hackers af dat ze kwetsbaarheden mogen aantonen zonder dat ze misbruik mogen maken van datgene wat aangetroffen wordt. De ethische variant dus.

Maak jezelf aan de voorkant kwetsbaar

Vanaf het moment dat we onze ‘responsible disclosure’ online hadden staan, ging de hackers-gemeenschap aan de slag. Het gevolg: Minimaal 14 pogingen zijn door ons geregistreerd. Onze mailboxen, contactformulieren, bestelmodules enz. enz. kwamen allemaal aan de beurt. Zowel geautomatiseerde pogingen als klassiek handwerk werden ingezet vanuit tenminste 5 verschillende landen. We bleken vooral in India heel populair te zijn.

En met resultaat! Twee hackers wisten op één specifieke pagina het contactformulier onbruikbaar te maken en de derde kreeg het voor elkaar om via e-mail een niet veilige link geopend te krijgen. Allebei zaken die je hoopt te voorkomen. Na een aantal primaire kreten dat het ze was gelukt om zaken te frustreren, overheerst nu vooral het gevoel dat we hier heel goed aan hebben gedaan.

Deze hackers hadden de intentie om zaken aan te tonen en niet om kwaad te doen. Het was spannend, maar ik kan het iedereen aanraden. Maak je gebruik van een eigen website, webshop of platform waar een vorm van klantgegevens of data overheen gaat? Maak jezelf aan de voorkant kwetsbaar. Dit voorkomt mogelijk een heel vervelend telefoontje naar de autoriteit persoonsgegevens als het te laat is.

PS

Elke hacker die zijn werkwijze na een succesvolle poging met ons gedeeld heeft, kreeg een beloning op basis van de mogelijke impact.