Jelle meldt kwetsbaarheden voor karmapunten of een dankjewel
Zoeken naar kwetsbaarheden is als een ‘Box of Chocolates’, lacht Jelle Ursem. “You never know what you’re gonna get.” Met de verwijzing naar de filmklassieker Forrest Gump illustreert Ursem zijn recentste beloning; een spontane donatie van 1000 dollar door een organisatie waar hij een kwetsbaarheid meldde. Een redelijk zeldzame gebeurtenis, volgens Jelle, die naar eigen zeggen ook genoegen neemt met karmapunten.
Jelle is een ethisch hacker. Sinds dit jaar is hij actief als researcher voor het Dutch Institute for Vulnerability disclosure. In de zomer raakte hij bekend door zijn onderzoek naar kwetsbaarheden in Solarman omvormers van zonnepanelen. De zaak kreeg wereldwijd aandacht.
Zijn werkwijze? In zijn vrije tijd zoekt hij online naar wachtwoorden. Dat is, voor iemand die weet waar hij moet zoeken, een eitje. “Het zijn voordeursleutels die iemand uit luiheid of onwetendheid laat slingeren in de code, en die code kan iedereen doorzoeken.” Ursem meldt zijn bevindingen altijd bij de betreffende organisatie. Hij weet wat een dergelijke sleutel kan opbrengen op de zwarte markt, maar is zelf nooit in de verleiding gekomen om de cybercriminaliteit in te gaan. “Ik doe dit om het internet veiliger te maken.”
Zijn laatste melding werd zo gewaardeerd dat de buitenlandse organisatie besloot een anonieme donatie te doen aan DIVD van 1000 dollar. “Het spreadsheet waar ik toegang tot kreeg, bevatte ook de contactgegevens van de CISO. Die reageerde heel goed en ondanks dat ze geen bug bounty programma hebben, wilden ze wel iets terug doen in de vorm van een donatie.”
DIVD gaat de donatie gebruiken voor een online leersysteem. Hier kunnen vrijwilligers hun onboardingsprogramma volgen, e-learnings maken en certificaten verkrijgen.
Last modified: 02 Nov 2022 14:45