Beheer

Security
hackers nederland

Nederlandse ethische hackers vinden honderden lekken

Onderzoeksresultaat: 690 ernstige lekken, afkomstig van 590 organisaties uit 71 landen.

4 januari 2017

Onderzoeksresultaat: 690 ernstige lekken, afkomstig van 590 organisaties uit 71 landen.

Ethische hacker Vincent Toms en Victor Gevers hebben als vrijwilligersproject een jaar lang lekken in software opgespoord. Het resultaat: 690 ernstige lekken, afkomstig van 590 organisaties uit 71 landen.

Toms en Gevers doen dit vanuit de GDI.Foundation PROJECT366. Ze benadrukken dat het er makkelijk nog veel meer hadden kunnen zijn, maar dat het veel tijd kost om een lek te verifiëren. Bovendien doen ze het in hun vrije tijd. Ze zijn afhankelijk van sponsors en donaties.

Niet zo snel

Bij Nederlandse bedrijven werden 136 lekken gevonden. Gemiddeld deden zij er 8 dagen over om de lekken te dichten. Dat is onder het Europese en Amerikaanse gemiddelde van 10,5 dag, maar aanzienlijk trager dan België en China, waar het 5,3 en 4,9 dagen kostte om een gemeld lek te dichten. Bovendien is Nederland – na de VS – het land waar de meeste gemelde lekken nog niet zijn opgelost: 22 van de 136 lekken is nog niet opgelost. Amerikaanse organisaties kregen meldingen van 144 lekken maar hebben 38 daarvan nog niet gedicht.

Van de 690 lekken is 77 procent na de ‘responsible disclosure’van GDI.Foundation gedicht.

Positief

De meldingen van Toms en Gevers werden overigens in veel gevallen positief ontvangen. “Van landen waarvan je geen reactie zou verwachten komen vaak de leukste reacties met een hartverwarmend bedankje. Dat motiveert ons extra om in 2017 door te gaan.”

Toms en Gevers startten vorig jaar met de GDI.Foudation. Ze hebben allebei reguliere banen bij de overheid en zijn daar ook collega’s. Het ethisch hacken doen ze in hun vrije tijd met als doel de veiligheid van internet te verbeteren. Zij zien dit als een maatschappelijke verantwoordelijkheid en hebben hiervoor al diverse prijzen gewonnen, waaronder de SURF Security Award en de Digital Impact Award van Nederland ICT en ECP.

Jacht gaat door

De GDI.Foundation gaat ook dit jaar weer verder met zijn jacht op zwakke plekken in software. Dat gebeurt met behulp van financiële ondersteuning van het SIDN-fonds en donaties. Die laatste lopen overigens niet echt over, want de gemiddelde donatie was tot nu toe zo’n 5 euro.

In samenwerking met SURFnet is gestart met de ontwikkeling van security dashboard dat landen, overheden en organisaties inzicht geeft in actuele beveiligingslekken en hoe die kunnen worden gedicht. Ook trends en toekomstige cyberrisico’s worden daar snel mee duidelijk, zodat sneller ingegrepen zou kunnen worden.

Zie ook Beheer op AG Connect Intelligence
1
Reacties
JPB 04 januari 2017 12:37

Ik heb ervaring met dit soort ethisch hackers en het gaat in deze om 'als dan' en 'mogelijk dat...' verhalen. Als je ze om daadwerkelijk bewijs vraagt in een sandbox dan zijn ze niet thuis. Stemmingmakerij dus en sensatiezoekers omdat ze zonder enig bewijs hun "resultaten" bij avro/tros hebben gelegd die prompt een spannende uitzending deden op 22 dec jl. Ook de avro/tros stonden niet open voor diepgaander onderzoek met daadwerkelijk bewijs. Maar ja, je weet hoe het gaat in medialand: oppervlakkigheid ten top.

Reactie toevoegen