Hoe een ethisch hacker wist binnen te dringen bij de Belastingdienst
Alles kan gehackt worden, zo ook de Belastingdienst. En soms is dat niet eens heel moeilijk. Dat bewees ethisch hacker en developer Jelle Ursem – op social media beter bekend als SchizoDuckie – vorig jaar, toen hij wist binnen te dringen bij de fiscus, waar hij een bokaal voor ontving als beloning. Zijn advies aan softwareontwikkelaars en bedrijven wereldwijd klinkt nu: “Check welke repositories je kunt vinden voor jouw bedrijf.”
Het is november 2021 als Ursem op GitHub een repository van de Belastingdienst op het spoor komt. De softwareontwikkelaar – die in zijn vrije tijd als ethisch hacker actief is – doet wat hij vaker doet: bij GitHub in het zoekveld een bedrijfsnaam samen met het woord ‘password’ intypen. Op die manier probeert hij interessante repositories (waarin softwarepakketten opgeslagen zijn) met potentiële beveiligingsproblemen te vinden, die mogelijk weer naar andere ingangen in een bedrijf leiden. Van dergelijke beveiligingsgaten maakt hij dan melding bij de organisatie in kwestie. “Ik wilde de Belastingdienst gewoon eens proberen, omdat ik nog nooit naar hen had gezocht.”