Een bedrijf dat niet gehackt wil worden, kan zich indekken door zelf hackers in te huren. De 'helpende' hacker is in opkomst in het bedrijfsleven. Bemiddelaars tussen hackers en bedrijven zijn booming business.
"Drie tot vijf jaar geleden was dit ondenkbaar. Voor bedrijven is het nogal spannend om hackers op hun website uit te nodigen."
Junior Meijering, oprichter Zerocopter
Ethische hackers, noemen ze zichzelf. Of liever: researchers. Jongens en meisjes die naar lekken in de beveiliging van websites speuren en op websites inbreken. Niet stiekem, vanachter een computer op een schemerige zolderkamer, maar op uitnodiging van bedrijven. Grote bedrijven als Facebook, Apple, Google en Twitter loven hiervoor beloningen uit. In Nederland moedigen banken als ING en de Rabobank, maar ook bedrijven als Gamma, en de rijksoverheid hackers aan om lekken te melden.
De meeste mensen kennen alleen de black hat-hacker, kwaadwillende cybercriminelen die een digitale 'slotgracht' omzeilen en gevoelige data stelen. De white hat- of ethische hacker daarentegen, waarschuwt een bedrijf of de overheid als hij een veiligheidslek vindt. Soms staat daar een beloning tegenover, soms gaat het om de sport. Bedrijven vragen ethische hackers nu actief om hulp.
"Drie tot vijf jaar geleden was dit ondenkbaar", zegt Junior Meijering. Als hacker richtte hij bemiddelingsbureau Zerocopter op dat goedwillende hackers koppelt aan bedrijven. "Voor bedrijven is het nogal spannend om hackers op hun website uit te nodigen." Zerocopter selecteert daarom uit een netwerk van betrouwbare hackers zo'n tien tot twintig hackers die zich per keer op een bedrijf mogen 'storten'. Wie iets vindt, verdient tussen de 50 en 5.000 euro, afhankelijk van hoe gevaarlijk het lek voor een bedrijf is.
"Voor veel bedrijven is de hulp van ethische hackers naast de ouderwetse beveiligingsbedrijven inmiddels onderdeel van het risicomanagement."
Chris van 't Hof, internetsocioloog
Het blijkt een gat in de markt. Zerocopter verdient 35 procent per beloning en heeft klanten als energiebedrijf Nuon en gereedschapsgigant Makita. Het hackerbedrijf sluit aan in de rij van vergelijkbare bemiddelaars als HackerOne, Crowdbug en Cobalt. "De markt voor internetbeveiliging is booming", zegt Meijering.
"Een nieuwe levendige markt is aan het ontstaan voor hackers", zegt ook Chris van 't Hof, Internetsocioloog die vorig jaar het boek 'Helpende Hackers' uitbracht. "Bedrijven zetten naast de ouderwetse beveiligingsbedrijven de hulp van ethische hackers in. Dit is inmiddels onderdeel van het risicomanagement van veel bedrijven", zegt van 't Hof.
Voor veel hackers gaat het niet om het geld maar om het oplossen van de puzzel en de erkenning achteraf.
Chris van 't Hof, internetsocioloog
Die hulp is hard nodig. Dagelijks komen er gevaarlijke hacks in het nieuws. Gisteren werd bekend dat een hacker persoonlijke gegevens van honderden politici en medewerkers van de Amerikaanse Democratische partij online heeft gezet. Eerder deze maand probeerde een cybercrimineel 200 miljoen accountgegevens van Yahoo te verkopen op een marktplaats op het Dark Web. Dezelfde hacker had dit eerder gedaan met acountgegevens van Myspace en LinkedIn.
In Nederland lagen in 2012 gegevens van honderdduizenden patiënten op straat na een hack van het Groene Hart Ziekenhuis. Volgens Van 't Hof had het ziekenhuis drie ton schade, kostte het drie miljoen euro aan IT-verbeteringen, en was er vooral reputatieschade. "Door dit soort incidenten zien bedrijven de noodzaak van verbeterde beveiliging in." Goedwillende hackers helpen hierbij graag een handje. En ze zijn niet allemaal uit op een beloning. "Voor velen gaat het om het oplossen van de puzzel en de erkenning achteraf", zegt Van 't Hof. "Voor hun wall of fame."
De Nederlandse hacker Olivier Beg (19) werd vorige week wereldnieuws nadat hij vliegmaatschappij United Airlines hackte. Als dank voor het melden van de softwarebugs kreeg hij één miljoen Airmiles waarmee hij nu gratis de wereld over vliegt.
Hij prijkt boven aan de lijst van ethische hackers en verdiende twee jaar geleden 16.000 dollar nadat hij veiligheidslekken bij Yahoo meldde. Ook hackte hij Facebook en Uber. "Ik begon met programmeren. Toen mijn eigen website werd gehackt, wilde ik dat ook leren," zegt hij. "Ik hack alleen bedrijven die daartoe uitnodigen. Waarom? Omdat ik niet de gevangenis in wil", zegt hij. "Bedrijven kunnen heel panisch reageren op hackers." Facebook heeft sinds 2011 zijn eigen Bug Bounty-programma en loofde in totaal 4,3 miljoen dollar uit aan meer dan 800 researchers die kwetsbaarheden in de digitale omheining meldden. Gemiddeld betaalde de social mediasite 1780 dollar per lek.
Natuurlijk is het veel spannender om een 'black hat', een kwaadwillende hacker, te zijn, vindt ook Beg. "Maar de schade is veel groter dan de lol die je hebt. De pakkans is groot en op de zwarte markt kan je niet altijd veel geld verdienen." Alhoewel, van de overheid krijgt hij voor meldingen 'alleen een T-shirt'. Maar Beg doet het niet voor het geld. Hij is inmiddels in dienst van Zerocopter, waar hij aan het hoofd van alle hackers staat.
Written by Zerocopter
August 16, 2016
.png){kind=logo}
