Als bedrijven willen voorkomen dat ze slachtoffer worden van een hack, huren ze wel eens white hat-hackers in, ook wel ethische hackers genoemd. Sijmen Ruwhof (30) is er zo een en hij heeft al honderden beveiligingsonderzoeken gedaan. "Het geeft voldoening als je een computersysteem binnenkomt."
Bedrijven kunnen Sijmen en z'n collega's inhuren om te laten checken hoe hackproof hun systemen zijn en krijgen dan toestemming om computersystemen te hacken. "Dan is het dus legaal", zegt hij.
Over andere projecten kan Sijmen minder zeggen. "Als ik word ingehuurd, teken ik een geheimhoudingsverklaring", zegt hij. "Maar in het algemeen zie ik veel datalekken waarvan geen melding wordt gemaakt bij de Autoriteit Persoonsgegevens." Dat moet eigenlijk dus wel.
Het meest recente datalek dat Sijmen heeft ontdekt, was van een software-ontwikkelaar. "Met hun software kunnen bijvoorbeeld bezoekers op conferenties met elkaar communiceren", zegt Sijmen. Een database van het bedrijf, die op het internet was aangesloten, was onbeveiligd. Iedereen kon de gegevens in de database zien, schrijft Sijmen op zijn weblog.
In dit geval had Sijmen geen toestemming gekregen van het bedrijf om het te hacken. "Maar de database was eigenlijk niet eens beveiligd, dus kun je het geen hacken noemen", vindt Sijmen.
Het bedrijf heeft bevestigd dat de database onbeveiligd was, maar relativeert het incident: het ging volgens de directeur om informatie van 275 personen die per ongeluk waren ingeladen op een testserver.
Als ik word ingehuurd, teken ik een geheimhoudingsverklaring.
Volgens Sijmen zijn veel sites van bedrijven kwetsbaar. Zo kan het bijvoorbeeld zijn dat een gebruikt programma niet goed beveiligd is, zoals onlangs ImageMagick.