Steeds meer bedrijven schakelen digitale premiejagers in om hun cybersecurity te testen. De bountyhunters gaan op jacht naar veiligheidslekken. Wie als eerste een lek rapporteert, krijgt de uitgeloofde beloning. Het Belgische platform Intigriti laat duizenden ethische hackers uit bijna 140 landen los op de digitale systemen van organisaties als Bpost, Randstad en de Europese Commissie. En die vinden volgens oprichters Stijn Jans en Inti De Ceukelaire – die er zélf in slaagde om de Amerikaanse president Donald Trump te hacken – altijd lekken. “Zelfs de grootste techbedrijven van de wereld hebben zwakke plekken. Wij zorgen ervoor dat ethische hackers deze eerst ontdekken voor er financiële en reputationele schade wordt aangericht.”

Wereldpers

Inti De Ceukelaire is een levende legende onder de ethische hackers. Hij haalde ooit de wereldpers met zijn gemanipuleerde tweet van Donald Trump. En in 2018 won hij in Las Vegas de ‘most valuable hacker award’ van HackerOne, het officieuze wereldkampioenschap voor hackers.

Zijn medevennoot Stijn Jans had voor Intigriti al een securitybedrijf waarmee hij aan ‘penetration testing’ deed. “Bedrijven huurden onze consultants in om hun cyberveiligheid te testen. We gingen dan bijvoorbeeld tien dagen lang de nieuwe website testen voor die online ging. Maar die werkwijze begon te wringen. We namen snapshots, maar een website evolueert voortdurend. Cyberveiligheid is niet gediend met momentopnames.

“Zo ontstond het idee om de crowd in te zetten. Overal ter wereld zitten waanzinnig getalenteerde ethische hackers, als we die nu eens inschakelen om de cybersecurity te testen? Voor alle duidelijkheid: we hebben daarmee het warm water niet uitgevonden, in de Verenigde Staten bestond dat soort platformen al.”

Ik zat als ethische hacker zelf op die platformen”, pikt De Ceukelaire in. “Wat in de Verenigde Staten kon, moest toch ook in Europa kunnen? We gingen toch niet wéér tien jaar te laat komen? Ik heb mijn job bij Studio Brussel opgezegd, en ben mee aan boord gesprongen bij Intigriti.”

Inti De Ceukelaire en Stijn Jans

Een ‘boeken toe’-lek

Intigriti werkt met een zogenaamde ‘bug bounty’, legt Jans uit. “Het principe is eenvoudig. Iedere hacker die een unieke bug vindt, krijgt een bounty. Een beloning. Hoe hoog die is, hangt af van hoe uitzonderlijk en hoe kritiek het gevonden lek is. Als ik de instellingen voor een nieuwsbrief kan wijzigen en mensen vanop afstand kan uitschrijven, is dat vervelend maar zeker geen ramp. Dan zal de bounty beperkt zijn.”

“Maar wanneer ik in jouw naam een fake artikel op Bloovi kan publiceren, is dat een potentiële ramp. Niet alleen zijn de geloofwaardigheid en de betrouwbaarheid van jullie contentplatform om zeep, het artikel kan in het ergste geval zelfs impact hebben op de beurskoers van het bedrijf waar ik nieuws over verzin. Dat is wat we hier bij Intigriti een ‘boeken toe’-lek noemen. Ontdek je als hacker zo’n lek, dan zal de bounty een echte klepper zijn.”

Wedstrijdelement

“Die bounty is echter peanuts vergeleken met de financiële en reputationele schade die zo’n lek kan aanrichten. Geloof me, je hebt liever dat een ethische hacker als eerste je zwakke plek vindt. We bepalen samen hoe hoog de beloningen kunnen oplopen. We zorgen ervoor dat ze marktconform zijn - een bank zal bijvoorbeeld meer betalen dan een kleine start-up - maar we doen ook een assessment van hun digitale maturiteit.”

“Vaak laten we eerst een klein groepje hackers los. Als zij al meteen tien lekken vinden, dan blijft de bounty beperkt. Als dat eerste selecte groepje top hackers geen lekken vindt, kan de bounty opgedreven worden. Bedrijven hoeven zich echter geen zorgen maken: er staat altijd een grens op het uitbetaalde bedrag. Als dat maximumbedrag bereikt is, gaat de bel af.”

Het wedstrijdelement is een belangrijk aspect van Intigriti. De winner takes it all. Soms ben je wekenlang bezig, ben je heel dicht bij de ontdekking van een lek, maar is een andere hacker je net voor. Of gaat de bel af en zijn alle beloningen net uitgekeerd. Dat is vloeken, maar het hoort bij het spel.”

Adrenalineshot

Volgens ervaringsexpert De Ceukelaire zorgt een nieuwe opdracht elke keer opnieuw voor een echte adrenalinerush. “We hebben twee categorieën opdrachten. Een deel is privé, exclusief voor hackers die we zelf uitnodigen. Een ander deel is publiek, aan de opdracht voor Torfs kon bijvoorbeeld onze hele community deelnemen. Als we zo’n publieke oproep lanceren, zien we binnen de minuut een piek op ons platform.”

Dat is het mooie aan onze community. Woonplaats, achtergrond, leeftijd: het doet er allemaal niet toe. Iedereen komt gelijk aan de start

“Ik herinner me dat ik nog studeerde toen ik op Amerikaanse platformen meedeed aan dat soort oproepen”, vertelt De Ceukelaire. “Dan zat ik midden in een hoorcollege, en stormde ik de aula uit omdat er een oproep binnenkwam. Op de trein naar huis moest ik dan met slechte 3G al beginnen hacken om geen kostbare tijd te verliezen.”

Op Intigriti zitten hackers uit bijna 140 verschillende landen. Als een hacker uit India als eerste een kritiek lek rapporteert, kan hij daar misschien een jaar van leven en zijn familie onderhouden. Dat is het mooie aan onze community. Woonplaats, achtergrond, leeftijd: het doet er allemaal niet toe. Iedereen komt gelijk aan de start, iedereen heeft dezelfde kans om de bounty binnen te halen. We maken de wereld veiliger, en geven onderweg ook nog eens kansen aan duizenden mensen.”

Bartel Van Herreweghe, KOen Heyns, Inti De Ceukelaire enart-u Stijn Jans

Ethische hackers

Waar trekt Intigriti voor zijn community de grens? Wat maakt van een hacker een ethische hacker? “De wet is overal anders, dus dat valt heel moeilijk te definiëren”, antwoordt Inti De Ceukelaire. “Maar het begint natuurlijk met het naleven van de richtlijnen van onze community. We werken samen met een externe, onafhankelijke partner om de identiteit van onze hackers te controleren. Omdat we 100 procent zeker willen zijn dat iedereen is wie hij of zij beweert te zijn.”

“Voor elke oproep bakenen we samen met de klant heel duidelijk de scope af. Onze hackers weten heel goed welke features ze wel testen en welke ze niet testen. Ze hacken ook alleen met testaccounts en ze mogen geen lekken misbruiken. Botsen ze per ongeluk toch op persoonsgegevens – dat gebeurt natuurlijk bij lekken – dan moeten ze de impact van het lek onmiddellijk maximaal beperken. We hebben heel wat controlemechanismen geïnstalleerd. Halen die alle rotte appels eruit? Dat weet je natuurlijk nooit. Maar hackers die zich niet aan onze regels willen houden, hebben geen enkele reden om zich bij onze community aan te sluiten.”

Internationale speler

Intigriti heeft recent een kapitaalronde afgerond waarmee het maar liefst 4 miljoen euro ophaalde. Dat geld moet het platform versterken en de community verder internationaliseren, geeft Stijn Jans mee. “We investeren nu al heel veel tijd in kwaliteitsbewaking. Niet alleen de identiteit van de hackers in onze community wordt gecontroleerd, we doen ook nauwgezet aan reputatiemeting op basis van de rapporten die iedereen indient. Daarnaast hebben we internationale opleidingsprogramma’s. Tot op vandaag doen we amper aan marketing en sales. Dat moet veranderen om onze community verder uit te bouwen en Intigriti te laten uitgroeien tot een internationale speler.”

Tot op vandaag doen we amper aan marketing en sales. Dat moet veranderen om onze community verder uit te bouwen en Intigriti uit te laten groeien tot een internationale speler

De nood neemt alleen maar toe. Bedrijven zijn zich sterker dan ooit bewust van de enorme schade die een veiligheidslek kan aanrichten. Het zijn de aanvallen met ransomware die het nieuws halen, maar veel lekken worden pas na weken of zelfs maanden ontdekt. Die zie je niet in de krant, maar ze hebben vaak een even grote impact. Hackers worden inventiever en elke verandering in de digitale systemen vergroot het risico. De crowd is een belangrijk deel van de oplossing voor een steeds complexer probleem. Het is geen evidente stap om duizenden anonieme ethische hackers te betrekken bij je cybersecurity maar bedrijven beseffen dat hun traditionele oplossingen niet meer volstaan.”

Bestaan er bedrijven waar de community van Intigriti geen énkel lek kan vinden? Inti De Ceukelaire lacht. “Ik heb in de VS deelgenomen aan live hacking events, zoals Intigriti die ook soms organiseert. Dan mochten we met tientallen hackers samen Uber of het Pentagon hacken. Die hebben de allerbeste engineers ter wereld, en zelfs daar vonden we lekken. Dus nee, honderd procent veiligheid bestaat niet. Maar je kan er wel voor zorgen dat ethische hackers als eerste die lekken ontdekken, voor hackers met slechte bedoelingen het doen.”