NCSC publiceert Wall of Fame met impactvolste overheidshackers

Het Nederlands Nationaal Cyber Security Centrum heeft een lijst gepubliceerd van ethisch hackers die de waardevolste kwetsbaarheden hebben aangedragen in 2024. In de lijst staan niet de specifieke kwetsbaarheden die zijn opgelost, maar het gaat onder andere om bugs in het Kadaster.

NCSC T-shirts
Een T-shirt voor ethisch hackers

Het Nationaal Cyber Security Centrum heeft voor de derde keer een Wall of Fame gepubliceerd. Daarin staan verschillende beveiligingsonderzoekers die in 2024 via responsible disclosure een bug hebben aangedragen bij het NCSC. Het NCSC is verantwoordelijk voor het bugbountybeleid van de Nederlandse Rijksoverheid. Een hacker die een kwetsbaarheid vindt op een website of dienst van bijvoorbeeld een ministerie, kan die melden bij het NCSC in plaats van het ministerie zelf.

De Wall of Fame bevat geen informatie over de specifieke kwetsbaarheden die gemeld zijn, maar alleen de namen van de hackers. Een daarvan, Chester van den Bogaard, stond al eerder op de lijsten. Een andere hacker, Jelle Ursem, is onder andere ook op Tweakers actief als Schizoduckie. We interviewden hem in 2022 over zijn werk als bugbountyjager.

Hoewel de specifieke kwetsbaarheden niet genoemd worden, zijn die van sommigen alsnog te vinden. Hackers Roel van Etten en Jules Huls, op Tweakers actief als ApexAlpha, beschreven eerder al publiek hoe ze afgeschermde Kadaster-data wisten te bemachtigen. Een andere kwetsbaarheid werd ontdekt door Alwin Peppels, die verkeerslichten op afstand kon bedienen en zijn bevindingen deelde met RTL Nieuws. Het NCSC zegt dat het een jury gebruikt om alle binnengekomen meldingen te beoordelen voordat ze op de Wall of Fame kunnen komen. Daarbij moet een bugmelding 'een grote impact hebben op de digitale veiligheid van Nederland', of moet er veel gevoelige data kunnen worden bemachtigd.

Het NCSC begon in 2022 met een Wall of Fame. Ethisch hackers die een bug aandragen krijgen geen geldbeloning, maar wel een T-shirt met daarop de tekst "I hacked the Dutch government and all I got was this lousy T-shirt". Hackers die op de NCSC-Wall of Fame komen te staan, krijgen een trui met daarop een iets andere tekst: "I am on the 2024 Wall of Fame of NCSC and all I got was this lousy hoody!"

Op de Wall of Fame staan de volgende hackers:

Alex Hornyai LinkedIn
Alwin Peppels

-
Andreas Hauser LinkedIn
Chester van den Bogaard LinkedIn
Erik de Jong LinkedIn
Jelle Ursem Website
Jeroen van den Bosch Linkedin
Jules Huls & Roel van Etten LinkedIn & Website
Wrecker1602 -
Robin van Lutterveld Linkedin
Wilfred Vos Linkedin

Update 12.58 - Jelle Ursem werd in het artikel aanvankelijk per abuis Van Ursem genoemd.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 29-01-2025 12:48
39 • submitter: neonite

29-01-2025 • 12:48

39

Submitter: neonite

Lees meer

Websites Nederlandse provincies en gemeentes onbereikbaar door cyberaanval
Websites Nederlandse provincies en gemeentes onbereikbaar door cyberaanval Nieuws van 28 april 2025
Rijksoverheidsambtenaren moeten verplicht cursus Digitale Weerbaarheid volgen
Rijksoverheidsambtenaren moeten verplicht cursus Digitale Weerbaarheid volgen Nieuws van 11 april 2025
Microsoft moet LinkedIn-gebruiker 50.000 euro betalen na inzet trackingcookies
Microsoft moet LinkedIn-gebruiker 50.000 euro betalen na inzet trackingcookies Nieuws van 13 februari 2025
Nationaal Cyber Security Centrum waarschuwt voor phishingmails uit diens naam
Nationaal Cyber Security Centrum waarschuwt voor phishingmails uit diens naam Nieuws van 22 november 2024
FBI verwijderde malware van Nederlandse iot-apparaten in Chinees botnet
FBI verwijderde malware van Nederlandse iot-apparaten in Chinees botnet Nieuws van 14 november 2024
DTC mag vertrouwelijke informatie over cyberdreigingen met meer bedrijven delen
DTC mag vertrouwelijke informatie over cyberdreigingen met meer bedrijven delen Nieuws van 1 oktober 2024
NCSC deelde informatie met VS en VK zonder wettelijke grondslag
NCSC deelde informatie met VS en VK zonder wettelijke grondslag Nieuws van 30 september 2024
Netwerkstoring bij Defensie leidt tot problemen bij Nederlandse overheden
Netwerkstoring bij Defensie leidt tot problemen bij Nederlandse overheden Nieuws van 28 augustus 2024
CrowdStrike-problemen veroorzaken wereldwijd storingen in computersystemen
CrowdStrike-problemen veroorzaken wereldwijd storingen in computersystemen Nieuws van 19 juli 2024
Huidig hoofd Team High Tech Crime politie wordt in september directeur NCSC
Huidig hoofd Team High Tech Crime politie wordt in september directeur NCSC Nieuws van 28 mei 2024
Kabinet wil centraal loket om bedrijven voor cyberdreiging te waarschuwen
Kabinet wil centraal loket om bedrijven voor cyberdreiging te waarschuwen Nieuws van 24 mei 2024
Overheid komt met Cybercheck waarmee bedrijven supplychainrisico's kunnen inzien
Overheid komt met Cybercheck waarmee bedrijven supplychainrisico's kunnen inzien Nieuws van 19 april 2024
Meer producten en artikelen
Beveiliging en antivirus NCSC Nederland responsible disclosure

Reacties (39)

-Moderatie-faq
39
39
22
1
0
13
Wijzig sortering
ApexAlpha 29 januari 2025 12:53
Kost je 17 jaar maar dan sta je toch met je account in het artikel!

Moet zeggen ook kudo's voor NCSC en Kadaster destijds, ze pakten de melding zeer vlot op en binnen 2 dagen was alles gepatcht.

Zo een vermelding is altijd leuk dan.
Hackers die op de NCSC-Wall of Fame komen te staan, krijgen een trui met daarop een iets andere tekst: "I am on the 2024 Wall of Fame of NCSC and all I got was this lousy hoody!"
Wow, spoiler alert! :+

[Reactie gewijzigd door ApexAlpha op 30 januari 2025 10:06]

Lisadr @ApexAlpha29 januari 2025 14:57
Gefeliciteerd! Wat ga je met jouw trui doen? Inlijsten of dragen bij sollicitatiegesprekken?
ApexAlpha @Lisadr29 januari 2025 16:00
Nou meestal liggen ze fijn in de kast.

Héél af en toe naar een CTF of zo doe ik ze aan.
CapnCrinkle @ApexAlpha29 januari 2025 13:00
Ach, ik gok dat het wel érg goed op je CV staat. Het is toch wel een genoteerde prestatie.
wica 29 januari 2025 13:06
Serieus goed werk van deze mensen en ook die niet genoemd worden.

Mijn enigste opmerking is, alles wat je krijgt is een T-Shirt, Goed voor je ego, maar rampzalig voor je hypotheek ;)

Ander iets, wordt er na het ontdekken van een probleem en het oplossen er van. Ook een vervolg onderzoek gedaan. Naar hoe het kon ontstaan en waarom het niet door de commerciële pentester is gevonden?
Silentek @wica29 januari 2025 14:03
Op je laatste vraag: pentesten gebeurd vaak op bekende kwetsbaarheden, en bijna altijd geautomatiseerd.
echte hackers (dus niet die een script op het donkere web kopen), die zullen die kwetsbaarheden snel naast zich laten liggen en juist op zoek gaan naar de kwetsbaarheden die in dat soort testen niet naar boven komen.

In veel gevallen zijn dit dus nog onbekende of behoorlijk obscure kwetsbaarheden.
Als deze vaker voor komen, dan zal een pentest deze ook opnemen.
Maar lang verhaal kort: Als je daadwerkelijk wilt testen of iets veilig is, huur geen pentester in maar een paar ethische hackers.
himlims_ @Silentek29 januari 2025 14:39
Zou eerder zeggen; begin met het laaghangend fruit via pentest. Heb je al die aanbevelingen toegepast, en wilt security niveautje hoger; huur dan etnische ethische hacker

@Wild Chocolate :+

[Reactie gewijzigd door himlims_ op 29 januari 2025 17:40]

Silentek @himlims_29 januari 2025 15:17
Je hebt uiteraard helemaal gelijk, ik was enigzins uitgegaan dat die stappen al gedaan waren.
Maar je hebt gelijk dat dit waarschijnlijk het juiste pad is. Vooral als je certificeringen wilt, dan is een pentest onmisbaar.
Wild Chocolate @himlims_29 januari 2025 16:11
Ik weet niet of je daar per se een etnische hacker voor nodig hebt. Op zich kan je het denk ik ook wel af met een gewone ethische hacker :*)
zuma @wica29 januari 2025 13:50
Het eigendom van zo'n T-shirt of hoody mag best wel op je CV. Daar waar het relevant is kan het zeker van invloed zijn op de onderhandeling qua salaris. En kenners weten wat het betekent en het is altijd sowieso een leuk item dat zeker vragen gaat oproepen in een sollicitatiegesprek.
wica @zuma29 januari 2025 13:59
Ik vond het niet de moeite waard om op mijn CV te zetten, maar is misschien wel een goed idee.
c-nan @zuma29 januari 2025 17:46
Ik heb mijn shirt welgeteld 0 keer aangehad en ligt ergens stof te happen in de kast.

Wel heel trots een foto van genomen en op LinkedIn gedeeld :P
Nox @wica29 januari 2025 13:12
Shirt aantrekken bij salarisonderhandelingen.
CivLord @wica30 januari 2025 12:04
Mijn enigste opmerking is, alles wat je krijgt is een T-Shirt, Goed voor je ego, maar rampzalig voor je hypotheek ;)
Alleen rampzalig voor je hypotheek wanneer je hiervoor je eigenlijke baan links laat liggen. ;)
Stroopwafels 29 januari 2025 12:54
Leuk om zo extra credit te krijgen, de meeste ethical hackers waarderen dit het meeste als pronkwaarde.

Ik heb dit veel gedaan tussen 2016-2020 en ook veel van deze t-shirtjes ontvangen. Mijn meest bijzondere "trophy" is toch echt wel van de RDW; een kenteken plaat met HA-CK-ER erop (blind SQL injection op een subdomain van de RDW gevonden.)
CH4OS @Stroopwafels29 januari 2025 13:04
Saillant detail: HA-CK-ER is geeneens een valide kenteken in NL... :+
Stroopwafels @CH4OS29 januari 2025 13:09
Helaas is dat waar :+ voor wie nieuwsgierig is heb ik een foto van de kenteken in mijn fotoalbum geüpload. https://tweakers.net/foto...2EkZdfKRQk32l7YqgQFkH.jpg

[Reactie gewijzigd door Stroopwafels op 29 januari 2025 13:09]

Hansie9999 @Stroopwafels29 januari 2025 13:37
Goh,

Nu vind ik persoonlijk toch dat de RDW dan had kunnen zorgen dat dit als bedankje dan toch wel echt een geldige plaat zou worden :) :)

Super cool om mee rond te rijden, (als je het dan leuk vind om een paar keer per maand het verhaal te vertellen aan een verkeersagent die je tegenhoud omdat je nummerplaat niet ok is :) )
Halfscherp @Hansie999929 januari 2025 14:05
Had gekund met de kentekenplaat '11-AK-ER', is ook nog niet bezet. Helaas is 'H4-CK-3R' niet geldig. En daarnaast, wat geef je dan aan de volgende bounty? Haha.
AuteurTijsZonderH Nieuwscoördinator @Stroopwafels29 januari 2025 13:12
Omg dat wist ik niet, dat is zo vet haha. Lijkt me ook leuker om naast je vijftien t-shirts te krijgen als je een beetje een serieuze bugbountyjager bent.
Triblade_8472 @Stroopwafels29 januari 2025 13:41
Pas maar op met het kenbaar maken, dadelijk worden ze 100x meer 'aangevallen' omdat alle ethische hackers zo'n gave plaat willen O-) _/-\o_
Hatsjoe @Triblade_847229 januari 2025 14:31
Dan hebben ze hun doel bereikt. Het liefst heb je als bedrijf natuurlijk dat je door 1000 ethische hackers aangevallen wordt die allemaal een shirt of ander klein gebaar willen, dan door 1 bad actor die enorm veel schade toebrengt. Het is dan ook juist goed om dit naar buiten te brengen, stimuleert misschien meer etische hackers met een kritische blik te kijken :)
SchizoDuckie @Stroopwafels29 januari 2025 14:45
*Jaloers*
Die staat ook nog echt op m'n wishlist maar tot nu toe nog niets van ze kunnen vinden (dus applaus!)
metalmania_666 @Stroopwafels29 januari 2025 17:00
Gave kentekenplaat. Ben benieuwd als je deze op je auto gebruit. Hij is tenslotte uitgegeven door het RDW :)

//serieus// Kudos voor jou en alle andere ethische hackers
Nox @CH4OS29 januari 2025 13:11
Pluspunten als ze dit kenteken hadden uitgegeven. Al sta je waarschijnlijk wel regelmatig aan de kant denk ik.
Aalard99 @Nox29 januari 2025 13:31
Een goede hacker wordt niet zo snel gepakt 😀
Nox @Aalard9929 januari 2025 18:03
Nouja, als je een politiewagen tegenkomt dan zien de inzittenden daarvan vlot dat er iets niet pluis is.
kodak
@CH4OS29 januari 2025 13:30
Als het een echt kenteken was geweest dan was het om meerdere redenen geen valide kado geweest en kon er waarschijnlijk zelfs aangifte worden gedaan vanwege onwettige aanmaak en uitgifte. Het zou dus vooral saillant zijn als ze een echt kenteken zouden uitgeven met tekens en opbouw die niet valide is.
eazyq 29 januari 2025 13:18
Vet om zo genoemd te worden. Ego boost +1
oZy 29 januari 2025 16:14
argh...!
"...die verkeerslichten op afstand kon bedienen..."
Dat de MSM dit zo vertalen uit ontwetendheid is tot daar aan toe maar hier verdient dit nuance!

"...die een bekende tekortkoming in een openbaar radio protocol heeft gebruikt om zich voor te doen als prioriteitsvoertuig (ambu, bus, etc)..."

By no means werden hier verkeerslichten op afstand bediend.
yevgeny 29 januari 2025 15:48
Ben eerlijk gezegd niet onder de indruk van deze hackers.

Voor het reverse engineeren van het tetra algoritme en publiceren van de 32 bits backdoor door medewerkers van midnightsky heb ik meer bewondering.

[Reactie gewijzigd door yevgeny op 29 januari 2025 17:15]

SchizoDuckie @yevgeny29 januari 2025 16:03
Ohnee. Hoe ga ik nu slapen vannacht
CodeAsm @SchizoDuckie29 januari 2025 16:38
in je mooie T-shirt natuurlijk :D
nicenemo @SchizoDuckie30 januari 2025 06:22
gewoon op die ferry stappen en in slaap laten wiegen. Dagje London en dan weer terug.😂.

Gefeliciteerd. Ik sta niet op de lijst, maar heb bij interne hack challenges 2x een paar BOL bonnen gewonnen.
metalmania_666 @yevgeny29 januari 2025 17:02
Dus jij kan het beter?

Ik iig niet en ben er wél van onder de indruk
Skit3000
29 januari 2025 12:49
Goed werk, allemaal!
Robru1 29 januari 2025 13:27
Geweldig! :*)
Dark Angel 58 29 januari 2025 14:16
Wel moedig dat rest gewoon hun naam heeft vermeld, want ik zie 1 nickname op lijst.

LOL, sorry Alwin Peppels… ik dacht dat je naam vals was, want het klonk beetje grappig en bovendien dat er geen LinkedIn op lijst was vermeld.Ik controleerde het op internet en zag je foto met naamsvermelding en ik heb ook zijn LinkedIn profiel gevonden.

[Reactie gewijzigd door Dark Angel 58 op 29 januari 2025 14:23]

boner 29 januari 2025 20:38
ik mis de naam van Victor Gevers.
Co-founder at Dutch Institute for Vulnerability Disclosure The Hague
https://www.linkedin.com/...llCorrectionEnabled=false

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq