Op basis van deze blogpost kan ik niet bepaald zeggen dat er professioneel en bijzonder ethisch is gehandeld door deze partij.
Dat ze binnen zijn gekomen met een master-sleutel die bij elk webverzoek braaf mee wordt gestuurd is een ding (liever zij dan een echte kwaadaardige partij), maar op het moment dat ze erachter kwamen dat ze meer konden dan waarschijnlijk de bedoeling was, hadden ze
direct moeten stoppen en contact op moeten nemen met Ajax zelf. In plaats daarvan zijn ze 55 uur lang doorgegaan, hebben ze tickets van met naam genoemde directieleden opgevraagd, een ticket van iemand anders op de doorverkoop gezet, en de volledige C3V-lijst met 538 personen binnengehaald (bijzondere persoonsgegevens onder de AVG).
Dat is geen proof-of-concept of ethisch hacken meer, dat is gewoon een ongevraagde pentest waarvan ze de scope zelf hebben bepaald.
Hetzelfde principe geldt overigens voor betaalde, van tevoren afgesproken tests; ook daar wordt er scope besproken, wat ze wel en niet mogen proberen, welke netwerken ze wel en niet mogen testen/aanraken, enzovoorts. Nu gaat dat natuurlijk niet als je openbaar en vrijwillig dingen test, en dat moet ook gewoon kunnen, maar het is juist in dat soort situaties dat je extra goed moet oppassen en alles tot een minimum moet beperken. Pas wanneer Ajax vervolgens zegt "oh, bedankt, zou je verder kunnen kijken? Je hebt toestemming om dit en dit te doen met de accounts van deze personen enzovoorts", dan kan je verder met je test.
Wat deze partij hier heeft gedaan is gewoon buitengewoon slordig, en de manier waarop het stuk geschreven is, met constante verwijzingen naar "inlichtingendienst-technieken" en een verhaallijn die toewerkt naar het dramatische RTL-moment, maakt het er niet beter op.
Ajax deed het zelf natuurlijk ook niet netjes, maar daar zou je juist als pentester/ethisch hacker omheen moeten kunnen navigeren; dat leer je, dat hoort erbij. De meeste partijen weten simpelweg niet goed hoe ze met een hack om moeten gaan. Vooral wanneer de hacker zelf netjes en met goede bedoelingen komt melden, zou het je verbazen hoe vaak bedrijven uit paniek in eerste instantie gaan dreigen met rechtszaken, de politie, NDA's enzovoorts.. Ik snap dat zo'n reactie (als hacker met goede bedoelingen) als een aanval kan voelen, maar openbaar gaan en uit paniek "klokkenluider" spelen maakt het dan alleen maar erger. In plaats daarvan kan je veel beter
DIVD benaderen bijvoorbeeld, of een bekend pentestbedrijf met een adres en KVK. Dan heb je een bestaand collectief achter je staan, wat ervoor zorgt dat je minder snel als dreiging wordt gezien én je krijgt hulp bij het navigeren van zo'n lastig landschap van responsible disclosure.
Die hele post doet mij enorm denken aan iemand die ik ooit kende, die zichzelf ook "ethical hacker" noemde omdat dat lekker positief en prestigieus klonk, terwijl hij gewoon voor de lol allerlei websites zat te hacken, iets waarmee hij overigens ook een paar keer bij de NPO en BNR op de radio is beland. Lang verhaal kort: ook al had hij naar mijn weten de beste bedoelingen, hij ging continu en overal veel te ver over de grenzen heen. Deze post leest voor mij vrijwel identiek; iemand die meer interesse heeft in hacken en dingen doen, en waarbij de regels en ethische richtlijnen een verre tweede/afterthought zijn. Beste bedoelingen, maar daar houd het eigenlijk ook wel bij op.
[Reactie gewijzigd door Arckedo op 26 mei 2026 22:44]