Hack demonstration at the WatchGuard symposium

Last week I demonstrated on the WatchGuard symposium how you can break into a website and into WiFi connections from mobile phones. It’s always very awesome to see the disbelief first on one side and then the enthusiasm from attendees on the other side!

img_5021

Posted in presentation, security awareness, website security, WiFi | Comments Off on Hack demonstration at the WatchGuard symposium

Cyber terrorisme in Nederland

Een zakenrelatie vroeg mij onlangs om een kennissessie te verzorgen over cyber terrorisme in Nederland.

Cyber terrorisme vormt in toenemende mate een steeds belangrijkere dreiging voor Nederlandse bedrijven en overheidsinstellingen. Wat is cyber terrorisme precies? Hebben we hier al mee te maken in de praktijk? Hoe zou dit Nederland kunnen treffen? Hoe moeten we ons erop voorbereiden en wat te doen als dit gebeurt?

Onderstaand de presentatie die ik hierover heb gegeven:

0af8b6f1-259d-4df4-9a4a-debd1cf9d603-original

Posted in cyber terrorisme, presentation | Comments Off on Cyber terrorisme in Nederland

Benieuwd naar hoe het is om als freelance ethisch hacker te werken?

Het VrijeStijl-magazine vroeg het me.

vrijestijl

Posted in interview | 2 Comments

Inbreken bij je buurvrouw

Je buitengesloten buurvrouw helpen in te breken in haar eigen huis, blijkt ze journalist te zijn!

CmsHmbsWcAAtNnr

Posted in interview, Uncategorized | Comments Off on Inbreken bij je buurvrouw

Lukt het mij om in te breken in de WiFi-verbinding van De Zaak?

Het magazine De Zaak heeft een uitgebreid artikel geplaatst waarin ik wordt geïnterviewd en waarin ik tevens ben uitgedaagd om hun WiFi te hacken. Zal het mij lukken?

dezaak-video2

dezaak

13432267_654280431386180_2273108968203335063_n

Posted in interview | Comments Off on Lukt het mij om in te breken in de WiFi-verbinding van De Zaak?

SAP security testing

In januari gaf ik een presentatie over SAP security testing tijdens een bijeenkomst van de Vereniging Nederlandse SAP Gebruikers (VNSG). Ze hebben hiervan anoniem verslag gemaakt en gepubliceerd in hun magazine. Drie keer raden wie de ethisch hacker is waar ze het over hebben ;-)

sap

Posted in interview, SAP | 4 Comments

NOS radio-interview over datalekken

De NOS nodigde mij uit om te komen spreken over datalekken. Best eng om voor 200.000 luisteraars mijn verhaal te mogen doen!

nos 3

Posted in interview, radio | 5 Comments

How I accidentally found a huge data leak during a college lecture

A few weeks ago I gave a guest lecture at the Windesheim University of Applied Sciences in The Netherlands. Being a Windesheim graduate myself I’ve always kept in touch with my former teachers. One of them told me recently that a lot of students want to learn more about IT security & hacking and invited me to give a guest lecture. Of course! And to keep it a bit juicy, I added a hacking demonstration to my lecture.

When I started the demonstration, I thought it would be fun to ask the students to name a company of which I would subsequently review the security. What I found out next was quite astonishing and I had to change the direction of the demonstration in order to protect the company’s security.
Continue reading

Posted in responsible disclosure, security assessment | 44 Comments

Kennissessie over hacking gegeven bij Cqure

Vandaag een kennissessie over hacking gegeven bij Cqure. Erg leuk om te doen!

cqure 1 cqure 2

Posted in interview | Comments Off on Kennissessie over hacking gegeven bij Cqure

Beveiliging van klantgegevens kan fikse strop voorkomen

Het blad Vastgoed interviewde mij voor hun februari oplage:

Vastgoed-magazine-artikel-vaktaal_23

Klik op het plaatje voor een vergroting.

Posted in interview | Comments Off on Beveiliging van klantgegevens kan fikse strop voorkomen

Interview door Financieel Dagblad over privacy

Het Financieel Dagblad heeft mij van de week geïnterviewd over privacy en dat stuk is vandaag te lezen in de krant en tevens ook online:

Posted in interview, privacy | Comments Off on Interview door Financieel Dagblad over privacy

Afluisteren via een elektronische SIM-kaart

De traditionele SIM-kaart gaat vervangen worden door een digitale variant: de e-SIM. Een e-SIM heeft wat betreft software-updates veel beveiligingsvoordelen, maar geeft overheden ook een nieuwe manier om ons in de gaten te houden.

De e-SIM stelt (vooralsnog) smartphone-gebruikers vanaf juni in staat om van provider te veranderen zonder de SIM-kaart uit de telefoon te halen. Dit is een mooie feature, maar zeker een ontwikkeling die we in de gaten moeten houden. Continue reading

Posted in interview, privacy | Comments Off on Afluisteren via een elektronische SIM-kaart

Online banking security

Checkmarx interviewed me for their article ‘All You Wanted To Know About Online Banking Security’:

checkmarx 2

Posted in interview, online banking | Comments Off on Online banking security

NOS: “Wat vind je van de nieuwe hackersserie Mr. Robot?”

Benieuwd wat ik van de nieuwe hackersserie Mr. Robot vind? De NOS vroeg het mij:

nos 2

Posted in hacking, interview | Comments Off on NOS: “Wat vind je van de nieuwe hackersserie Mr. Robot?”

Inbreken in de NOS-studio?

Dit keer is een hacker het wel gelukt om in de juiste NOS-studio te komen ;-)

nos

Posted in Uncategorized | Comments Off on Inbreken in de NOS-studio?

Interviewed by Lock Me Down podcast

Max McCarty from Lock Me Down podcast interviewed me for an hour (view the show notes) and we talked about web security and how software developers can improve it:

Posted in podcast, security awareness, software development, website security | 1 Comment

Zo slordig gaan bedrijven met persoonsgegevens van hun klanten om

Nieuwssite Z24 had een interview met mij en heeft hierover een uitgebreid artikel geschreven:

z24 2

Posted in interview, security awareness | 5 Comments

Interview op BNR Nieuwsradio

Vanmiddag had BNR Nieuwsradio mij uitgenodigd in hun radioprogramma over het wachtwoordlek dat ik gevonden had bij Phone House en Media Markt. De uitzending is online terug te beluisteren:

bnr

Posted in interview | Comments Off on Interview op BNR Nieuwsradio

Epic failure of Phone House & Dutch telecom providers to protect personal data: How I could access 12+ million records #phonehousegate

On September 11, 2015 I visited Media Markt in Utrecht Hoog Catherijne, a well-known electronics shop in The Netherlands. Since summer 2014, the biggest independent Dutch phone retail company Phone House also operates (white labeled) from within Media Markt locations as a store-in-a-store concept. I had a few questions about my phone subscription so I talked to a Phone House employee. We were discussing the new Samsung Galaxy S6 Edge phone and I was thinking about buying one.

Somewhere in the conversation the service & sales guy asked me what I did for a living so I told him I earned my money as a freelancer by hacking (with authorization) into computer systems of businesses and writing security reports about it. He thought that was cool so we talked a few more minutes about this subject. I even told him I had noticed some months ago that one of his Media Markt colleagues had written a password on a post-it and attached it onto a computer monitor near a cash desk, in plain sight where any customer could see it :

tn_20151003_171315(0) v3 Naamloos

As you can see, the password to unlock Media Markt computers was media321. A very strong one!

We both laughed about how irresponsible and naive that was.

The conversation continued about my desire for a new phone and about all associated kinds of subscriptions I could choose of. After about ten minutes I made up my mind and ordered a new phone and a new subscription. I’m still in shock about what happened next! Continue reading

Posted in data leakage, privacy, responsible disclosure, security assessment | 419 Comments

Scanning an enterprise organisation for the critical Java deserialization vulnerability

On November 6, security researchers of FoxGlove Security released five zero day exploits for WebSphere, WebLogic, JBoss, Jenkins and OpenNMS. These software products are used everywhere in enterprise organizations and with the published exploits remote malicious code can be unauthenticated executed.

The underlying vulnerability was known for years but it was vague and believed to be hard to exploit. That situation changed when Chris Frohoff (@frohoff) and Gabriel Lawrence (@gebl) published in January of an exploit generator for it in their talk on AppSecCali . Their generator didn’t get much attention on the internet. FoxGlove didn’t find the original (underlying) vulnerability, but they did find vulnerable products and wrote exploits for it. They call the vulnerability “the most underrated, underhyped vulnerability of “. When I read about FoxGlobe’s research on Twitter on November 8, , my guts told me immediately that this was something big. Continue reading

Posted in analysis, security vulnerability, zero day | 25 Comments