Eindhoven,
27
augustus
2020
|
15:08
Europe/Amsterdam

ICT-student vindt wéér een lek, nu bij RIVM

Hij doet het gewoon wéér. Sem Voigtländer ontdekte vorige week een veiligheidslek op de website van nota bene het RIVM en haalde de pers. Begin vorig jaar ontdekte hij, toen nog als Fontys-student een lek in een app, dat computergigant Apple tot een beveiligingsupdate dwong.

Het lek dat de 21-jarige Helmonder bij het RIVM vond, was iets minder spectaculair. Het verschafte hem toegang tot een verouderd testsysteem voor werknemers bij de gezondheids- en milieudienst van het Rijk. “Dat had op die manier nooit online mogen staan. Ik kon er als testgebruiker op inloggen. Gelukkig zijn er door het lek nooit persoonsgegevens op straat komen te liggen.”

Sem VoigtländerMisbruik
Hadden criminelen er misbruik van kunnen maken? “Je kon een soort noodmelding doen, bijvoorbeeld over een giftige stof in het milieu”, schetst Sem. “Ik weet niet hoe die bij het RIVM afgehandeld worden, maar er zou flink wat paniek door kunnen ontstaan.”

De Helmonder was wel onder de indruk van de snelheid waarmee het instituut het door hem gevonden lek heeft gedicht. Binnen twee dagen was het opgelost. “Dat kan eigenlijk niet beter, want je moet zo’n lek eerst helemaal analyseren. Daarna moet je het natuurlijk nog verhelpen.”

T-shirt
Als dank kreeg Sem een brief van het RIVM. Er volgt nog een shirt van het Nationaal Cyber Security Centrum met de tekst: I hacked the Dutch government and all I got was this lousy T-shirt. Is het inderdaad niet een karige beloning voor zijn inzet? Bedrijven die zoiets overkomt loven hier een, soms vette beloning voor uit, de bug bounty.

De student geeft echter aan dat het hem daar als ‘ethisch hacker’ niet om te doen is. “Dit is beter dan zo’n bounty, want je hebt bij kunnen dragen aan een veiligere overheid. Dat is eigenlijk het beste toch?” Na enig aandringen zegt hij: “Het zou leuk zijn als je er 50 euro of zo voor zou krijgen. Maar in de hackersscene is zo’n T-shirt natuurlijk wel te gek.”

Weg bij Fontys
Inmiddels is Sem geen Fontys-student meer. Begin vorig jaar besloot hij te stoppen bij zijn opleiding ICT & Software Engineering in Eindhoven. “Ik liep vast op het onderdeel softwareontwikkeling. Het was niet de richting die ik in wilde, maar wel verplicht.”

Cybersecurity werd volgens hem niet als hoofdroute aangeboden, maar je kon er een specialisatie in doen. Met een groepje enthousiastelingen richtte hij Hatstack (later Kernel Space) op en gingen ze met dit thema aan de slag. Als team deden ze ook mee aan hacker-wedstrijden (CTF-competities). “Maar dat maakte geen deel uit van het lesprogramma.”

Nieuwe opleiding
Deze donderdag begint de introductie bij zijn nieuwe opleiding Cyber Security, aan de Hogeschool van Amsterdam. Moet Fontys die ook krijgen? “Toen ik stopte ging Fontys ook de richting ICT & Infrastructure aanbieden. Ik heb die niet meer kunnen doen, maar dat is wel een opleiding die goed aansluit bij cybersecurity.”

Sem verwacht later allereerst aan de slag te gaan in het bedrijfsleven en van daaruit verder te groeien. “Wie weet ga ik in de toekomst het Rijk nog eens helpen.” [Tim Durlinger]

Ook Koen vond lekken, bij ministeries

Ook student Koen Sanders van Fontys ICT in Eindhoven heeft begin dit jaar twee lekken gevonden bij de overheid. Door een fout kon hij op een server van het ministerie van Infrastructuur en Waterstaat onder meer configuratiebestanden lezen met wachtwoorden voor intranetapplicaties. Ook ontdekte Koen een fout op een website van het ministerie van Buitenlandse Zaken.

"Op het moment heb ik dus twee T-shirts en twee bedankbrieven, maar ik ben vastberaden om mijn verzameling uit te breiden", zegt hij. Samen met een Fontys-medewerker heeft Koen bovendien twee veiligheidslekken gedicht in de systemen van de hogeschool zelf.  

Reacties (0)
Bedankt voor uw bericht.