HackerOne is getroffen door een datalek via een externe partner. Het Amerikaanse bugbounty-platform meldt dat onbevoegden via die toeleverancier toegang kregen tot gegevens. Het incident speelt internationaal en raakt ook Europese klanten en onderzoekers. Op het moment van schrijven loopt het onderzoek en zijn beveiligingsmaatregelen aangescherpt om misbruik te voorkomen.
Datalek via toeleverancier
Het lek ontstond niet in de eigen systemen van HackerOne, maar bij een ingeschakelde dienstverlener. Zulke toeleveranciers leveren vaak e-mail, support of marketingdiensten. Als zij worden misbruikt, kan data van klanten en gebruikers indirect toch op straat komen te liggen. Dat maakt de keten van leveranciers een aantrekkelijk doelwit voor aanvallers.
HackerOne faciliteert bugbounty-programma’s, waarbij ethische hackers kwetsbaarheden melden tegen een beloning. Die programma’s bevatten veel contactmomenten en notificaties, vaak uitbesteed aan partners. Een zwak punt bij zo’n partner kan daardoor effect hebben op meerdere klanten tegelijk. De impact hangt af van welke systemen en datavelden de partner beheerde.
Op het moment van schrijven onderzoekt het bedrijf welke gegevens zijn ingezien. In dit soort incidenten gaat het vaak om basisgegevens zoals namen, e-mailadressen en organisatie-informatie. Gevoelige inhoud zoals kwetsbaarheidsrapporten of bijlagen vraagt doorgaans om extra stappen van een aanvaller. De komende dagen moet duidelijk worden of zulke stappen zijn gezet.
AVG-melding en plichten
Voor Europese organisaties die HackerOne gebruiken, gelden de regels van de AVG. Zij blijven verwerkingsverantwoordelijke voor persoonsgegevens en moeten datalekken beoordelen en zo nodig melden. Dat geldt ook als het lek bij een verwerker of subverwerker is ontstaan. Contracten (verwerkersovereenkomsten) horen precies te regelen wie wat meldt en binnen welke termijn.
Bedrijven moeten een datalek in de EU binnen 72 uur melden bij de toezichthouder (AVG, artikel 33), tenzij het onwaarschijnlijk is dat er risico’s zijn voor betrokkenen.
Naast melding aan de Autoriteit Persoonsgegevens kan ook communicatie naar betrokkenen nodig zijn. Dat hangt af van het risico op phishing, identiteitsfraude of ongewenste profilering. Dataminimalisatie en versleuteling helpen het risico te beperken en kunnen invloed hebben op de meldplicht. Organisaties doen er goed aan hun risicobeoordeling te documenteren.
Sommige sectoren vallen bovendien onder NIS2, de Europese cybersecurityrichtlijn met strengere eisen voor ketenbeveiliging en incidentmelding. Denk aan zorg, energie, digitale infrastructuur en overheid. Voor hen telt niet alleen privacy, maar ook bedrijfscontinuïteit en dienstbeschikbaarheid. Een lek bij een leverancier kan dan leiden tot extra audits en sancties.
Risico’s voor bugbounty-data
Een bugbounty-programma verzamelt gegevens van twee groepen: klanten en beveiligingsonderzoekers. Namen, e-mailadressen en programmaprofielen kunnen worden misbruikt voor gerichte phishing. Zo’n aanval kan lijken op legitieme uitnodigingen of beloningsmails. Daardoor neemt de kans toe dat slachtoffers op malafide links klikken.
Ook metadata rond kwetsbaarheidsmeldingen kan gevoelige patronen verraden. Denk aan welke producten vaak worden getest of wanneer releases plaatsvinden. Zelfs zonder rapportinhoud kan dat een aanvaller helpen prioriteiten te kiezen. Bescherming van die contextinformatie is daarom belangrijk.
Voor organisaties in Nederland en Europa betekent dit extra waakzaamheid. Verifieer inkomende berichten over bounties of triage via bekende kanalen, zoals het eigen programma-dashboard. Stel DMARC, DKIM en SPF strikt in om e-mailspoofing te beperken. En gebruik waar mogelijk single sign-on en hardwarebeveiligingssleutels voor accounts.
Impact op AI-redteaming
HackerOne biedt ook AI Red Teaming-diensten voor het testen van taalmodellen en andere algoritmen. Bij zulke trajecten worden prompts, datasets en systeeminstructies gedeeld, die vertrouwelijk zijn. Als partners in die keten zwak zijn, kan dat gevoelige AI-gegevens blootleggen. Dat raakt direct aan de eisen uit de Europese AI-verordening voor risicobeheer en documentatie.
De AI-verordening vraagt om gedegen beveiliging, logging en post-market monitoring van AI-systemen. Onafhankelijke tests en red teaming horen daarbij, maar vergen strakke waarborgen rond gegevensdeling. Heldere afspraken over dataminimalisatie, pseudonimisering en bewaartermijnen met leveranciers zijn essentieel. Dit incident onderstreept die noodzaak.
Europese afnemers doen er goed aan hun DPIA’s (gegevensbeschermingseffectbeoordelingen) bij AI-tests te herzien. Leg vast welke data een partner echt nodig heeft en wat optioneel is. Kies bij voorkeur EU-gebaseerde verwerkers of EU-datacenters als dat passend is. En controleer regelmatig de beveiligingsattestaties van alle betrokken partijen.
Wat organisaties nu kunnen doen
Inventariseer welke gegevens via HackerOne en diens partners kunnen zijn gedeeld. Denk aan e-mailadressen, namen, rol en eventuele projectnamen. Beoordeel het phishingrisico en informeer interne teams en onderzoekers proactief. Gebruik duidelijke voorbeelden van verdachte berichten om medewerkers te trainen.
Verander wachtwoorden en roteer API-sleutels en webhooks die met externe diensten zijn gekoppeld. Schakel waar mogelijk passkeys of hardwaretokens in voor beheeraccounts. Controleer toegangslogs op afwijkingen in de recente periode. En beperk tijdelijk rechten van integraties totdat het onderzoek is afgerond.
Herzie tot slot contracten en due-diligence van leveranciers. Vraag om incidentrapporten, herstelplannen en bewijs van aanvullende controles. Werk met minimale data-uitwisseling en versleuteling in rust en tijdens transport. Documenteer elke stap voor audit en mogelijke AVG-verantwoording.
Leveranciers blijven zwakste schakel
Het incident laat zien dat ketenrisico’s vaak de achilleshiel zijn. Veel organisaties hebben hun eigen systemen op orde, maar leunen op talloze tools eromheen. Elke schakel kan een ingang vormen voor criminelen. Dat vraagt om continu toezicht op integraties, niet alleen jaarlijkse vragenlijsten.
NIS2 en de aankomende regels rond software- en AI-veiligheid leggen de lat hoger voor toeleveranciers. Transparantie over subverwerkers en snelle incidentcommunicatie worden de norm. Ook bewijs van beveiligingspraktijken, zoals SOC 2 of ISO 27001, zal vaker verplicht worden. Afnemers zullen kritischer selecteren en vaker exit-opties eisen.
Voor platforms als HackerOne is vertrouwen het kernproduct. Een lek via een partner tast dat snel aan, ook als de kernsystemen niet direct geraakt zijn. Snelle, heldere communicatie en tastbare verbeteringen zijn dan cruciaal. Zo blijft de community van onderzoekers en klanten bereid samen kwetsbaarheden te vinden en te verhelpen.
