NOSop3

NOSop3

'Het geeft voldoening om een bedrijf te hacken'

Sijmen Ruwhof Sijmen Ruwhof
Geschreven door
Joost Schellevis
Research redacteur

Als bedrijven willen voorkomen dat ze slachtoffer worden van een hack, huren ze wel eens white hat-hackers in, ook wel ethische hackers genoemd. Sijmen Ruwhof (30) is er zo een en hij heeft al honderden beveiligingsonderzoeken gedaan. "Het geeft voldoening als je een computersysteem binnenkomt."

Bedrijven kunnen Sijmen en z'n collega's inhuren om te laten checken hoe hackproof hun systemen zijn en krijgen dan toestemming om computersystemen te hacken. "Dan is het dus legaal", zegt hij.

Sinds 1 januari zijn bedrijven verplicht om te melden als ze slachtoffer zijn van een datalek waar persoonsgegevens zijn uitgelekt. Dan gaat het over gebruikersnamen en wachtwoorden of bijvoorbeeld medische dossiers.

In Nederland zijn dit jaar al minstens 1600 keer persoonsgegevens uitgelekt bij bedrijven, vertelt de Autoriteit Persoonsgegevens aan de NOS. De Autoriteit Persoonsgegevens vermoedt dat het ondanks de regelgeving in veel gevallen toch niet wordt gemeld. 

Over andere projecten kan Sijmen minder zeggen. "Als ik word ingehuurd, teken ik een geheimhoudingsverklaring", zegt hij. "Maar in het algemeen zie ik veel datalekken waarvan geen melding wordt gemaakt bij de Autoriteit Persoonsgegevens." Dat moet eigenlijk dus wel.

Het meest recente datalek dat Sijmen heeft ontdekt, was van een software-ontwikkelaar. "Met hun software kunnen bijvoorbeeld bezoekers op conferenties met elkaar communiceren", zegt Sijmen. Een database van het bedrijf, die op het internet was aangesloten, was onbeveiligd. Iedereen kon de gegevens in de database zien, schrijft Sijmen op zijn weblog.

In dit geval had Sijmen geen toestemming gekregen van het bedrijf om het te hacken. "Maar de database was eigenlijk niet eens beveiligd, dus kun je het geen hacken noemen", vindt Sijmen. 

Het bedrijf heeft bevestigd dat de database onbeveiligd was, maar relativeert het incident: het ging volgens de directeur om informatie van 275 personen die per ongeluk waren ingeladen op een testserver.

Als ik word ingehuurd, teken ik een geheimhoudingsverklaring.

Sijmen Ruwhof

Volgens Sijmen zijn veel sites van bedrijven kwetsbaar. Zo kan het bijvoorbeeld zijn dat een gebruikt programma niet goed beveiligd is, zoals onlangs ImageMagick.