SIKKERHET

– Jeg hacket myndighetene, og alt jeg fikk var denne elendige T-skjorta

Nederlandske myndigheter deler ut artige T-skjorter til etiske hackere. Belønningen er så populær at den blir skrytt av på CV-er og forsøkt kopiert.

Der amerikanske myndigheter truer med søksmål, deler nederlenderne ut t-skjorter til etiske hackere.
Der amerikanske myndigheter truer med søksmål, deler nederlenderne ut t-skjorter til etiske hackere. Foto: Miral Scheffer, NSCS
25. des. 2021 - 21:00

– Jeg varslet nederlandske myndigheter om at et nederlandsk skip brukte en satellitt-ruter med standardpassord og var eksponert på nettet. De meldte tilbake at sårbarheten var tatt tak i og ba om adressen min for å sende meg en T-skjorte. Jeg ble litt bekymret, men i dag fikk jeg skjorta, skriver Informasjonssikkerhetsekspert Shai Eistein på Linkedin – med et bilde av T-skjorta.

Linkedin-posten har fått mye oppmerksomhet, og flere har kommentert bildekvaliteten <i>Skjermbilde:  Linkedin</i>
Linkedin-posten har fått mye oppmerksomhet, og flere har kommentert bildekvaliteten Skjermbilde:  Linkedin

Etter Linkedin-standard har innlegget gått viralt, med over 50.000 reaksjoner og 1000 kommentarer, men har det faktisk skjedd?

Fleip eller fakta

Flere har kommentert at bildet er av dårlig kvalitet, og at teksten ikke alltid ser ut til å følge brettene i stoffet.

Men nederlandske myndigheter bekrefter at de deler ut T-skjorter.

– For å lokke etiske hackere til å varsle oss i stedet for å selge informasjon om sårbarheten på det svarte markedet, appellerer vi til deres integritet og gode intensjoner ved å belønne dem med en artig T-skjorte, skriver pressesjef Miral Scheffer i Nederlands sikkerhetsmyndigheter (NCSC)  på e-post til Digi.no.

Som statlig aktør kan ikke NCSC dele ut pengepremier, slik noen av de store teknologiselskapene gjør.

NCSC lover imidlertid å beskytte personvernet til dem som melder ifra om sårbarheter og ikke rettsforfølge den etiske hackingen. De vil også melde tilbake når de tar tak i sårbarheten, og kanskje vanker det en liten belønning dersom kvaliteten på rapporten er god og sikkerhetsproblemet var ukjent og stort nok.

– For å være berettiget til belønning, må rapporten omhandle et alvorlig sikkerhetsproblem som foreløpig er ukjent for NCSC, skriver de på sine nettsider.

Hvor mange T-skjorter har dere delt ut?

– Vi vil ikke gå ut med nøyaktig antall utdelte T-skjorter, men programmet har gått, og vært vellykket, i flere år nå. Mange entusiastiske etiske hackere og sikkerhetsforskere har rapportert om sårbarheter og blitt belønnet med T-skjorter for sin innsats for å forbedre sikkerheten i nettsteder og systemer, svarer Scheffer.

Vilja Steffensen og Vahiny Gnanasekaran skriver i kronikken om CSIRT-er og viktigheten av å forbedre kommunikasjonen under hendelseshåndtering.
Les også

Det digitale brannvesenet blir glemt

Populære T-skjorter

T-skjortene har vist seg å være veldig populære.

– Stort sett blir sikkerhetsforskerne som kontakter oss med gode rapporter glad for T-skjortene. Faktisk er de så populære i visse kretser at folk bruker dem på CV-en, skriver Scheffer.

Populariteten har ført til forsøk på å skryte på seg T-skjorter.

NCSC er kjent med at legitime sikkerhetseksperter som faktisk har mottatt en T-skjorte, får sine innlegg på sosiale medier kopiert og delt av andre som prøver å ta æren for arbeidet, forteller Scheffer.

– Ettersom vi ikke har lov til å gå inn på detaljer, kan vi ikke bekrefte eller avkrefte gyldigheten av det innlegget på Linkedin som du refererer til. Men anta ikke at denne siste bemerkningen betyr at Linkedin-innlegget er falskt, skriver Scheffer.

Annen tone

Tonen er ganske annerledes enn vi har sett fra andre myndighetsorganer.

Den amerikanske guvernøren Mike Parson brukte tidligere i høst anledningen til å anklage en journalist for å ha «hacket seg inn i HTML-koden» og kreve straffeforfølgelse. 

Bakgrunnen var at journalisten hadde avslørt at personopplysninger lå blottlagt i HTML-koden til en nettjeneste om lærere.

Thomas Tømmernes, IT-sikkerhetssjef i Atea.
Les også

Mange kjenner ikke til grunnprinsipper for IT-sikkerhet: – En rettesnor alle bør jobbe etter

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra