Gemeente daagt hackers uit in ‘Hâck Den Haag’

Met de hackwedstrijd Hâck Den Haag daagt de gemeente ethische hackers uit om kwetsbaarheden en problemen in hun computersystemen te vinden. Chris van ’t Hof is deskundige op het gebied van cybersecurity en was dagvoorzitter bij de drie eerdere edities. Hij blikt terug op de hackwedstrijden, vertelt over de leermomenten en deelt de belangrijkste vondsten.

De spelregels

Chris: ‘Eén keer per jaar organiseert de gemeente Den Haag Hâck Den Haag. Het evenement is opgezet als een wedstrijd, de beste hackers winnen een geldprijs. De ethische hackers zijn verplicht om gevonden kwetsbaarheden aan de gemeente te melden en beloven deze niet met anderen te delen. ICT-specialisten van de gemeente staan paraat om eventuele vondsten direct te verhelpen.’

Opstelling in het stadhuis van Den Haag

De aftrap in 2017

‘Alle betrokkenen zowel binnen als buiten de gemeente vonden het best spannend dat Den Haag zich publiekelijk openstelde voor hackers. De burgers zouden bijvoorbeeld bang kunnen worden dat hiermee hun persoonsgegevens op straat komen te liggen of niet begrijpen dat hackers geld krijgen voor iets wat niet mag. Toch vond de gemeente Den Haag het van groot belang om haar systemen te laten testen. Op 29 september 2017 was het zover. In het stadhuis wemelde het van de hackers. Het event verliep rustig. Na een uur was er nog maar één melding: een XSS, oftewel Cross Site Scripting. Hiermee zou je een sessie van een andere bezoeker van de website kunnen overnemen. Dat kan ernstig zijn, ware het niet dat deze site geen gevoelige gegevens verwerkte. Uiteindelijk kwamen er vier meldingen binnen. De verwachte kritiek van media of burgers bleef uit. Niemand heeft zijn zorgen geuit dat de gemeente zich openlijk laat hacken of persoonsgegevens van burgers in gevaar zijn geweest. Achteraf bezien was deze editie vooral een goede vingeroefening voor het echte werk.’ Aldus Van ’t Hof.

Data lekkende printer in 2018

Chris: ‘De tweede editie was op 22 november 2018. De 45 hackers kregen meer tijd: zes uur en in de prijzenpot zit 10.000 euro. Nieuw was een groot scherm met een dashboard waarop het netwerkverkeer werd weergegeven. Het ging meteen hard. Uiteindelijk werden er 90 meldingen gedaan. Een belangrijke vondst kwam van de hacker Bl4sty. Hij ontdekte dat je in een printer kon inloggen en zo de bestandsnamen van alle geprinte documenten kon zien. Meerdere gemeenten gebruiken dezelfde printers. Dit probleem werd gelijk opgepakt en binnen drie dagen was het opgelost. In deze tweede editie ging er ook wat mis. Zo was er een incident met verkeerde IP-adressen, waardoor deelnemende hackers plots elkaar hackten. Maar dat was een goed leermoment voor de organisatie.’

Hâck The Hague 2019

‘Om het enige internationale allure te geven, werd in 2019 de naam veranderd in Hâck The Hague 2019 en verwelkomde de gemeente Den Haag ook hackers uit het buitenland. Op 30 september 2019 vonden 79 hackers in totaal 107 kwetsbaarheden in de systemen van Den Haag. Eén van mijn persoonlijke anekdotes van de dag was een leverancier die naar me toe kwam om mee te delen dat de gevonden bug al gefikst was. Hij vroeg: “Kunnen we de applicatie updaten, zodat ze meteen de nieuwe versie ook kunnen testen”. Dat hebben we gedaan. Het testen van de Haagse gemeentelijke systemen kreeg dit jaar ook veel aandacht in de media. Zo draagt de wedstrijd bij aan transparantie en bewustwording op het gebied van digitale weerbaarheid.’

Komt er een vervolg?

‘In juni heeft de gemeente besloten de editie van 2020 te cancelen vanwege COVID-19. De deelnemers vanuit huis laten hacken zou een optie zijn, maar dan mis je toch het evenementengevoel en het nieuwsmoment. Nu maar hopen dat ethische hackers in 2021 weer de computersystemen van de gemeente Den Haag binnendringen.’

Meer lezen?

Chris van ’t Hof (1972) is onderzoeker, schrijver, presentator en oprichter van Tek Tok. Momenteel richt Van ’t Hof zich vooral op cybersecurity en schrijft hij een boek over dit onderwerp. Hâck The Hague krijgt hierin ook een rol, wij mochten bovenstaande informatie alvast publiceren. Dit boek Cyberellende was nog nooit zo leuk verschijnt in december. Zijn eerste boek Helpende Hackers is een must voor iedereen die meer wil weten over cybersecurity en privacy in Nederland. Bestellen kan hier >>>