Blog

Voormalig front-end student Gregor heeft een bijzondere hobby ontdekt (Deel 1)

Voormalig front-end student gaat voor de 'fun' op zoek naar beveiligingslekken. Lees hier meer over zijn hobby (Deel 1)
Geschreven door
op
August 26, 2021

In de testiminial van voormalig Winc Academy student Gregor vertelde hij ons dat hij de skillset vanuit de front-end opleiding nu flink aan het uitbreiden is. Zo is hij de programmeertaal Python aan het leren en heeft ook nog eens een nieuwe ‘programmeer’ hobby ontdekt. Sinds kort gaat hij voor de ‘fun’ in zijn vrije tijd op zoek naar beveiligingslekken.

Wij waren erg nieuwsgierig naar zijn nieuwe hobby en hebben hem dan ook het hemd van het lijf gevraagd. Ben je ook benieuwd naar wat hij zoal tegenkomt, waarom hij het zo leuk vindt en hoeveel geld je ermee kan verdienen? Lees dan verder en ontdek zijn verhaal.

Het begon allemaal met de opleiding front-end development

Het is ongeveer 14 jaar geleden dat Gregor weleens wat stoeide met regels code in Python. Veel verder dan dat is het nooit gekomen. Pas in 2020 toen hij begon aan de opleiding front-end development bij Winc Academy kwam zijn carrière als programmeur van de grond.

Door de voldoening die Gregor haalde uit het puzzelen met code gingen zijn programmeervaardigheden met hazensprongen vooruit. In enkele maanden wist hij de opleiding af te ronden en binnen 2 maanden kon hij al beginnen aan zijn nieuwe baan. Inmiddels werkt hij nu net aan een jaar voor zijn huidige werkgever en heeft al een vast contract aangeboden gekregen.

De programmeerkoorts heeft hem flink te pakken

Iedereen die de opleiding front-end development bij Winc Academy volgt, leert de essentiële skills die nodig zijn om direct aan de slag te kunnen als front-end developer. Nadat een student zijn of haar eerste baan vindt als frontender, kiezen ze vaak voor een bepaalde specialisatie binnen het vak. Zo gaf Gregor in het interview aan dat het designen minder zijn ding is. Hij kwam erachter dat hij zich liever focust op de technische kant achter applicaties. Dit is dan ook precies waar hij zich in zijn huidige baan mee bezig houdt.

Ook al werkt Gregor nu al even als front-end developer, zijn passie voor programmeren blijft onverminderd. Vrijwel iedere dag vindt hij wel weer een nieuwe uitdaging die met programmeren te maken heeft. Sterker nog, zelfs in het weekend is Gregor vaak nog hobbymatig aan het programmeren.

Het ontstaan van zijn nieuwe ‘programmeer’ hobby

De stap om beveiligingslekken te zoeken als front-end developer is niet erg voor de hand liggend. Wij waren dan ook erg benieuwd naar wat hem hiertoe zette. Gregor vertelde hierover het volgende: “Het begon allemaal zo’n 3 maanden geleden. Op mijn werk maken we voor narrowcasting gebruik van hele specifieke apparatuur. Narrowcasting is het uitzenden van informatie op moderne beeldschermen. Denk bijvoorbeeld aan menuborden, instore applicaties en dergelijke.

Een voorbeeld van specifieke apparatuur dat we hiervoor gebruiken is een Bright Sign speler. Deze spelers kunnen soms best specifiek werken. Met een van onze Bright Sign spelers hadden we op gegeven moment een groot issue. Dus ik ging op onderzoek uit. Tijdens mijn zoektocht vond ik vrijwel meteen de eerste beveiligingslekken. Dit was dan ook het moment waar ik kennis maakte met mijn nieuwe hobby.”

De beveiligingslekken die hij vond waren niet de minste

Gregor vertelt verder over zijn vondst: “Het apparaat van ons spuugde de ene na de andere error uit. Daarom ik ben toen gaan Googelen. Vrijwel direct vond ik 2 andere open spelers die gepubliceerd waren op het internet. Hiermee bedoel ik dat ze open en toegankelijk zijn voor iedereen .

Dat ze zo eenvoudig te vinden zijn verbaasde mij, want die dingen zijn een soort van minicomputers. Vrijwel alles wat je met een computer kan, kan je ook met dit apparaatje. Het heeft toegang tot het interne netwerk en tot de database. Je moet er namelijk nieuwe dingen mee kunnen uploaden en playlists kunnen veranderen. Daarnaast hebben ze ook network packet captures en daarmee kan je het hele netwerk uitlezen. Al met al kun je dus erg veel met deze apparaatjes.

In eerste instantie dacht ik: whoops, is deze van ons? Maar dat was gelukkig niet het geval. Beide spelers waren wel van grote bekende bedrijven (we noemen de namen niet in verband met de privacy van deze bedrijven). Ik kwam toen op het punt waar ik dacht: wow! Hier kan je zoveel mee, ik moet dit verder onderzoeken en het netjes melden bij de betreffende bedrijven.”

Sommige bedrijven namen de datalekken niet serieus

Stel je vindt een datalek, hoe zorg je er dan voor dat zoiets op een goede manier terecht komt bij het bedrijf? Gregor gaf aan: “Nou dat valt niet mee. Het is best wel moeilijk om te laten zien dat ze je serieus moeten nemen. Dit is echt lastig, ook al doe je het via een erkend platform zoals HackerOne.

Ik heb gemerkt dat veel bedrijven eerst ontkennen dat het lek van hen is. Dat ze zeggen: nee hoor, dat is niet van ons, dat is niet onze IP. En denk ik ja hoor, dat is het sowieso wel. Hier staan letterlijk alle gegevens. Pas als je zegt: is dit het wachtwoord van jullie server? Dan pas hebben ze het door. Ik snap het ook wel hoor van die bedrijven . Ik bedoel, dan komt er iemand langs om te zeggen van hé die IP van jullie die staat open. Ja, hoe reageer je daar dan op?

Een van de bedrijven waar ik een lek van gevonden had was niet actief op het platform. Dus ik heb ze maar een mailtje gestuurd. Helaas kreeg ik hier geen reactie op. Dus het knaagt nog wel een beetje dat die nog steeds open staat. Doordat ze het probleem niet oplossen zou iedereen die kwade intenties heeft volledige toegang kunnen krijgen en doen wat hij of zij wil.”

Zou je ze niet kunnen bellen dan? “Dat lijkt mij erg lastig. Hoe ga ik zoiets uitleggen? Jullie hebben ergens een open speler staan. Maar waar staat hij dan? Ik heb werkelijk geen idee. Dat is ook eerste wat ze vragen: waar staat ie dan? Haha, i don’t know. Hoe moet ik nou weten waar hij staat? Ja.. het is jullie apparaat haha."

HackerOne

Wat is dat Hackerone waar je het over had? Gregor zei: Dit is een platform waar je anoniem beveiligingslekken kan melden. Ethische hackers gebruiken dit platform om geld te verdienen met het opsporen van beveiligingslekken. In mijn geval had ik het gebruikt om anoniem aan te tonen dat ik deze lekken gevonden had. Een keer heb ik zelfs met het aantonen van een beveiligingslek op dit platform een erg leuk geldbedrag verdient”

Ben je benieuwd geworden naar hoe lastig het is om datalekken te vinden? Of zou je graag willen weten hoeveel geld Gregor verdient heeft met het vinden de beveilingslekken? Je leest het in het vervolg van deze blog.

Meer Blogs

Cookie Preferences
close

We may use and track cookies, local storage, your IP address and similar technologies to improve the user experience of this site and to understand how it is used. Read more in our privacy policy.