Achtergrondartikel


Game of Toons-trilogie, deel 1:

The Fellowship of those Things

Op 11 oktober gingen tien teams van vier hackers los op de slimme thermostaat Toon van Eneco. Drie ervan kregen tijdens de Tek Tok late night van die avond een prijs: most techy, weirdest en most dangerous hack. Welke kwetsbaarheden precies zijn gevonden, wordt onthuld in het slot van deze trilogie, want ze moeten eerst nog gefixt worden. In deze eerste aflevering introduceer ik ‘the Fellowship of those Things’. Onderweg leren we vijf lessen voor wie ook op zo’n open manier wil werken aan responsible disclosure.

Door Chris van ’t Hof

Het is alweer bijna een jaar geleden dat ik Eneco’s security-officer Luisella ten Pierik voor het eerst ontmoette. Ze vertelde dat het energiebedrijf ook graag een meldpunt voor gevonden kwetsbaarheden wilde openen. “Maar ik weet niet of men hier intern daar wel klaar voor is.”

Inderdaad, als zomaar iemand binnen een organisatie een meldpunt opent, dan zal je zien dat er van alles misgaat in de back-office. Althans, dat is mijn ervaring. Begin met een proefmelding, kijk wie reageert, maak de melding zwaarder, verbeter het proces en open je meldpunt pas als de hele back-office er klaar voor is. Les 1 in RD: begin klein, achter de schermen en schaal stap voor stap op.

Verder lezen?

Log in en lees verder of maak hier uw persoonlijk profiel aan en ontvang als eerste het laatste securitynieuws. Speciaal voor u geselecteerd!

Dit veld is verplicht
Vul een geldige e-mailadres in
Dit veld is verplicht