Het Amerikaanse bugbounty-platform HackerOne heeft deze week een datalek gemeld. Een ongeautoriseerde partij kreeg toegang tot interne systemen van het bedrijf. Het incident raakt klanten en beveiligingsonderzoekers wereldwijd, ook in Nederland en de EU. HackerOne onderzoekt de oorzaak en zegt extra maatregelen te nemen om misbruik te voorkomen.
Ongeautoriseerde toegang bij HackerOne
HackerOne bevestigt dat er sprake was van ongeautoriseerde toegang tot onderdelen van zijn infrastructuur. Het bedrijf spreekt van een beveiligingsincident dat is ingedamd. Systemen worden hersteld en gemonitord op nieuwe pogingen.
Details over de omvang zijn op het moment van schrijven beperkt. Het bedrijf voert forensisch onderzoek uit met eigen teams en externe specialisten. Ook worden logbestanden en toegangsrechten doorgelicht.
De impact kan groot zijn, omdat HackerOne gevoelige kwetsbaarheidsrapporten beheert. In zulke rapporten staan technische stappen om fouten te vinden en te testen. Dat maakt misbruik sneller mogelijk als informatie voortijdig uitlekt.
Risico’s voor klanten en hackers
Mogelijk zijn contactgegevens, rapportmetadata en communicatie via het platform ingezien. Denk aan namen, e-mailadressen en verwijzingen naar systemen van klanten. Zulke gegevens vergroten het risico op gerichte phishing en fraude.
Kwetsbaarheidsrapporten bevatten soms testcode, ook wel proof-of-concept genoemd. Dat is korte code die laat zien hoe een fout werkt. In verkeerde handen kan dat direct worden gebruikt.
Steeds meer rapporten gaan ook over AI-toepassingen, zoals promptinjecties of datalekken in trainingssets. Als zulke bevindingen vooraf openbaar worden, kan de schade snel oplopen. Dit raakt zowel bedrijven als overheden die met algoritmen werken.
AVG en AI-verordening eisen
Voor Europese klanten geldt de AVG. Bedrijven moeten ernstige datalekken binnen 72 uur melden bij de toezichthouder en betrokkenen informeren. Ook dataminimalisatie en versleuteling zijn basisvereisten.
Overheden en organisaties met essentiële diensten hebben extra plichten. Zij moeten continuïteit waarborgen en incidenten snel delen met hun computercrisisteam (CERT) of het NCSC. Dit is van belang als hun bugbounty-proces tijdelijk verstoord is.
De aankomende Europese AI-verordening raakt hieraan. Hoge-risico-AI moet aantoonbaar veilig zijn, met logging, risicobeheer en incidentmeldingen. De Europese AI-verordening gevolgen overheid zijn daarmee concreet bij beveiligingsincidenten.
Nederlandse context en continuïteit
Nederland kent een sterke traditie van responsible disclosure. Veel organisaties gebruiken bugbounties om beveiligingsgaten sneller te sluiten. Zij werken via platforms als HackerOne en het Belgische Intigriti.
Een bug bounty is een beloningsprogramma waarbij een organisatie ethische hackers betaalt voor het verantwoord melden van beveiligingsfouten.
Bij verstoring van een platform kan de afhandeling van meldingen vertragen. Open rapporten, beloningen en communicatie kunnen haperen. Dat vraagt om een tijdelijk noodproces.
De Leidraad Coordinated Vulnerability Disclosure (CVD) van het NCSC-NL biedt hiervoor handvatten. CVD is het afgestemde proces om kwetsbaarheden veilig te melden en op te lossen. Organisaties kunnen alternatieve kanalen openstellen, zoals een speciaal e-mailadres met PGP (versleuteling van e-mail).
Wat organisaties nu moeten doen
Klanten doen er goed aan toegangssleutels, API-tokens (digitale toegangssleutels) en wachtwoorden te roteren. Schakel waar mogelijk single sign-on (eenmalig inloggen) en multifactor-authenticatie (inloggen met extra stappen) in. Beperk rechten volgens het principe van minimale toegang.
Controleer recente inzendingen en communicatie op verdachte wijzigingen. Houd rekening met phishing die verwijst naar echte rapporten of beloningen. Monitor systemen die in rapporten zijn genoemd extra scherp.
Onderzoekers kunnen misbruik helpen voorkomen door identiteit en domeinen te verifiëren. Reageer alleen via bekende kanalen en controleer PGP-sleutels. Meld verdachte verzoeken aan de security-teams en, indien nodig, het NCSC of de Autoriteit Persoonsgegevens.
