Vandaag maken we kennis met Martijn Baalman! Martijn is een hacker en bounty hunter die zijn jeugdige hobby – het hacken van videogames – omzette in het opsporen van grote kwetsbaarheden voor toonaangevende bedrijven. Daarnaast is hij medeoprichter van Hacksclusive.

Je kunt zijn interview bekijken of hieronder lezen.

Edwin: Welkom bij 1337. En we hebben weer een briljante hacker bij ons. Stel jezelf even voor, alsjeblieft. Wat is je naam?

Martijn: Mijn naam is Martijn. Ik ben hacker en oprichter van Hacksclusive. Ik ben opgegroeid met andere hackers in de Bug Bounty-community. Zo is het allemaal begonnen.

Edwin: Mogen we vragen hoe oud je bent?

Martijn: Ja hoor, ik ben 33 jaar oud.

Edwin: Wauw. Dus je bent waarschijnlijk al aan het hacken sinds je zestiende?

Martijn: Zoiets ja. Ik ben altijd al aan het hacken geweest: valsspelen in games, zoeken naar makkelijke manieren om te winnen. Daarnaast ben ik al de helft van mijn leven softwareontwikkelaar.

Edwin: Wat vind je leuker, ontwikkelen of hacken?

Martijn: Hacken, natuurlijk. Maar af en toe iets bouwen is ook fijn. Je moet namelijk begrijpen wat je hackt.

Edwin: En toen je jong was, was je dan meer aan het hacken of aan het coderen?

Martijn: 50/50. Ik bouwde dingen en vroeg me daarna af of ik ze kon breken. Dat was steeds mijn eerste gedachte.

Edwin: Kun je je nog herinneren hoe je echt begonnen bent met hacken?

Martijn: Het was eerst vooral voor mezelf. Ik dacht dat hacken illegaal was – en dat is het ook, afhankelijk van wat je doet. In het begin deed ik dingen die niet bepaald legaal waren. Later ontmoette ik mensen van HackerOne: Jobert, Michiel, en Melvin. Toen dacht ik: hé, ik kan hier misschien een boterham mee verdienen. Waarom maak ik dit niet mijn werk?

Edwin: Toen je begon, wist je dan dat je aan het hacken was? Of was je gewoon aan het spelen?

Martijn: Ik was gewoon aan het spelen. Computers konden veel dingen die ik wilde – soms zelfs meer. Ik experimenteerde op de computer van mijn ouders, later op mijn eigen pc. Ik wilde steeds weten: hoe ver kan ik het systeem pushen totdat het breekt?

Edwin: Je noemde HackerOne en Melvin. Was dat het moment waarop je besefte dat je hier geld mee kon verdienen?

Martijn: Ja. Ik wist dat er cybersecuritybedrijven waren, maar ik dacht dat ze vooral blue team dingen deden, zoals endpoint detection. Ik wist niet dat red teaming ook bestond.

Edwin: En dat maakte je blij?

Martijn: Ja, heel blij.

Edwin: Wat vind je van het woord "cyber"?

Martijn: Het hoort erbij, maar het betekent niet zoveel voor mij. Ik zeg meestal dat ik in IT-beveiliging werk. “Cyber” wordt wel veel gebruikt, maar ik haat het niet.

Edwin: Wat waren de eerste obstakels toen je ontdekte dat je geld kon verdienen met hacken?

Martijn: Je moet veel leren. Ik hou van leren – niet op school trouwens, want ik ben een school drop-out – maar als iets me interesseert, zuig ik alles op als een spons. Dan ben ik soms 80 uur per week bezig.

Edwin: Minder slaap?

Martijn: Zeker. Dat is best normaal onder hackers. Gezond? Niet echt. Maar ja…

Edwin: Weet je nog wat je eerste bounty was?

Martijn: Niet precies. Maar ik weet wel dat ik de belastingdienst hackte als één van mijn eerste doelen. Ze hadden Responsible Disclosure, dus ik dacht: waarom niet? Ik vond een achterdeur en wat andere kwetsbaarheden, en kreeg uiteindelijk een trofee opgestuurd.

Edwin: Geen geld dus?

Martijn: Nee, maar het was wel tof. Mijn eerste betaalde bounty kwam van HackerOne, denk ik. Iets van €400 of €500. Daarna vond ik wat dingen via Zerocopter.

Edwin: Heb je ook een grote bounty gepakt?

Martijn: Ja, $30.000 van Microsoft. Ik was alleen aan het hacken tijdens COVID, het was 2:30 's nachts, en ik kreeg die saaie e-mail van Microsoft: "Congratulations". Ik maakte mijn vriendin wakker: “Je gaat dit niet geloven.”

Edwin: En toen kwam de belastingdienst?

Martijn: Haha, nee. Ik heb een boekhouder die dat regelt. Tip voor andere hackers: neem een boekhouder, liefst eentje met kennis van IT.

Edwin: Werk je naast Bug Bounty ook regulier?

Martijn: Ja, ik begon als junior pentester in 2016. Daarna werkte ik bij verschillende bedrijven tot ik in 2020 voor mezelf begon – net toen COVID begon. Toen ook wat werk voor Zerocopter gedaan: triage, hacking, pentesten. Ideale vrijheid.

Edwin: Heb je dingen uit pentests kunnen gebruiken bij Bug Bounty?

Martijn: Zeker. Bug Bounty is out-of-the-box denken, pentests geven je structuur en dekking. Ik gebruik beide methodes.

Edwin: En Hacksclusive?

Martijn: Opgericht in 2020. Ik ben oprichter, aandeelhouder en doe het samen met een compagnon en investeerder.

Edwin: Wat is de coolste hack die je ooit hebt gedaan?

Martijn: Waarschijnlijk die op Microsoft. Andere waren ook kritisch, maar leverden minder op. Bounty ≠ fun. Maar blind XSS is ook iets wat ik heel graag vind – heb er al veel admin panels mee gepopt.

Edwin: Als je een bug vindt, stop je dan of ga je door?

Martijn: Hangt ervan af. Bij Synack Red Team moest je stoppen na de eerste bevinding. Vond ik frustrerend, want ik werkte samen met Nathaniel aan iets dat enorm had kunnen opleveren.

Edwin: Heb je ooit iets grappigs gevonden?

Martijn: Elke keer als je een soort "juice shop" app tegenkomt. Alles zo lek als een mandje – je gelooft bijna niet dat het bestaat.

Edwin: Doe je veel mobiel hacken?

Martijn: Ja, en dat is net iets anders dan web. Je hebt je telefoon, je doet aan static analysis, reverse engineering, etc. Maar het is goed te doen en minder concurrentie.

Edwin: Goed moment om erin te duiken?

Martijn: Absoluut.

Edwin: Tools voor beginners?

Martijn: Voor mobiel: oude telefoon, zoals een Samsung S8 met custom Linux ROM. Rooten, geduld, en gaan. Voor web: Nuclei met eigen templates, Burp Suite (koop een licentie!).

Edwin: Tattoos?

Martijn: Ja, sommige bounties zijn letterlijk onder mijn huid gegaan. 😄 Geen specifieke bug tattoos, wel een Fallout “good boy” van vroeger.

Edwin: Zerocopter-tattoo?

Martijn: Nog niet… maar wie weet!

Edwin: Waarom Zerocopter?

Martijn: Melvin en Olivier waren actief bij ZC. Het bedrijf waar ik werkte deed ook werk voor ZC. Dus zo ben ik erin gerold. En ik ben gebleven.

Edwin: Favoriete swag?

Martijn: Zerocopter DEF CON T-shirt! Maar Microsoft stuurde ook een hele swag pack toen ik MVP was. Inclusief VIP-transport in Vegas naar Area 15. Ontmoetingen met CISOs, bug fixers, etc. Heel vet.

Edwin: Heb je nog tijd om te hacken?

Martijn: Ja, ik plan nu gewoon mijn weekenden in als bounty tijd. En soms kies ik voor een biertje. 😄

Edwin: Alleen of in team?

Martijn: Meestal alleen. Samenwerken levert wel meer op, maar ik heb nog geen vaste partner gevonden. Maar wie weet: Tinder voor hackers, haha.

Edwin: Favoriete conferentie?

Martijn: Hack in the Box in Amsterdam was top. DEF CON in Vegas moet je ook een keer gedaan hebben. En ik wil nog naar cons in Azië, met name Thailand.

Edwin: En wat wil je in de toekomst nog leren?

Martijn: Smart contracts & blockchain security. Solidity. Ik vind het technisch superinteressant. Ook AI-model hacking en prompt injection trekken me. Het blijft in beweging, dus ik beweeg mee.

Edwin: Hardware hacking?

Martijn: Nee, behalve met mijn telefoon. Ik ben te onhandig. Ik blijf bij software.

Edwin: Laatste boodschap?

Martijn: Blijf leren. Hack de wereld.

Edwin: Hack the planet!

Martijn: Ja, hack the planet!