Wie kiest er waar jouw data staat?

Marieke Rijken en Mischa van Geelen laten zien waar bedrijven écht kwetsbaar zijn: niet in hun eigen systemen, maar bij hun leveranciers. Marieke Rijken en Mischa van Geelen bouwen samen aan AdversIQ, een platform dat van buitenaf in kaart brengt waar de digitale toeleveringsketen van een bedrijf lek is. Marieke zit diep in de Nederlandse hackerscommunity en vertaalt die wereld naar iets waar gewone bedrijven mee kunnen werken. Zij noemt het platform een lasagne, laag op laag aan afhankelijkheden waar je geen grip op hebt. Mischa vond als dertienjarige een kwetsbaarheid bij ABN AMRO, werd de jongste fulltime pentester van Nederland en meldde inmiddels meer dan zevenhonderd lekken. Gebruik je geen Salesforce maar je callcenter wel? Dan ben je alsnog geraakt toen de Shiny Hunters toesloegen. Pretendeer je digitaal soeverein te zijn, maar zet je sub-sub-leverancier alles bij Amazon? Dan klopt het verhaal niet. Het gesprek loopt van responsible naar full disclosure, langs een zonnepaneel-lek waarmee je half Europa kunt verstoren, naar de grote vraag: hoe soeverein is Europa écht als bijna de hele cloudmarkt bij Amerikaanse reuzen ligt, en waarom is er nog geen werkend Europees alternatief? Over Marieke Rijken Marieke Rijken (ook wel bekend als Smits..) leeft in twee werelden tegelijk: ze zit diep in de Nederlandse hackerscommunity (DIVD, projectlead van hackerkamp WHY2025) en knoopt als geen ander techniek en marketing aan elkaar. LinkedIn: https://www.linkedin.com/in/piiindakaas/ Website: https://www.adversiq.com/ Over Mischa van Geelen Mischa Rick van Geelen is ethisch hacker, pentester en forensisch onderzoeker. Hij was op zijn vijftiende de jongste fulltime pentester van Nederland, medeoprichter van incident-responsebedrijf NFIR, en meldde inmiddels meer dan zevenhonderd kwetsbaarheden. Hij is medeauteur van de MIAUW-methode en hielp bij grote incidentonderzoeken zoals de hack bij de gemeente Hof van Twente. LinkedIn: https://www.linkedin.com/in/rickgeex/ Website: https://www.mischavangeelen.nl/ In deze aflevering 0:00:00 Intro: een gat bij de bank, full disclosure en afhankelijkheden in beeld0:03:00 Dertien jaar oud tegenover drie bankdirecteuren0:10:49 Vastlopen op school, en hoe Astrid Oosenbrug hielp van de leerplicht af te komen0:16:00 Honderden lekken melden: SQL-injecties en een beheerder die vijf keer weigerde0:23:05 Wat DIVD doet, en waarom full disclosure soms niet mag (half Europa via zonnepanelen)0:28:00 Van pentester naar incident response: Hof van Twente en Lochem0:31:00 De Synology-NAS die je data niet wist, een ongedocumenteerde feature0:33:30 Hoe AdversIQ ontstond: het staat digitaal in de fik achter je0:35:35 ISO 27001, de scope die je zelf kiest en de zeldzaam goede auditor0:39:30 De lasagne: lagen vol afhankelijkheden zonder dat je het weet0:41:50 Salesforce, Shiny Hunters en de leverancier die het voor jou gebruikt0:46:43 Hoe je dit van buitenaf in kaart brengt zonder zelf lijstjes te maken0:49:20 Soeverein? Tot je sub-sub-leverancier bij Amazon blijkt te staan0:52:00 Afhankelijk van Stripe of Cloudflare, en wat als die uitvalt0:59:19 Welke fase de startup in zit, pilots in juli en de strijd om live te gaan1:10:45 Luistervraag: Europese alternatieven en de Amerikaanse wet die overnames blokkeert1:15:28 De MIAUW-methode en de motie die unaniem werd aangenomen1:19:42 MIAUW versus het piepsysteem, en de vraag die niemand stelde Genoemd in deze aflevering AdversIQ, het platform dat digitale toeleveringsketens van buitenaf in kaart brengt DIVD, het instituut dat kwetsbaarheden meldt en hackers bij disclosure helpt WHY2025, het Nederlandse hackerkamp waar Marieke projectlead is MIAUW-methode, standaard voor pentesten met auditwaarde van Brenno de Winter Synology NAS, de back-up-NAS met de niet-gedocumenteerde reset-feature Tips van de tafel Marieke: ga bij je leveranciers actief na welke diensten zij weer inkopen, want hun keuzes (zoals hosting buiten Europa) worden stilzwijgend ook jouw risico. Marieke: niet elk probleem dat je vindt hoeft meteen opgelost, bepaal per leverancier zelf wat je accepteert, mitigeert of vervangt, anders verdrink je in de meldingen. Mischa: meld een kwetsbaarheid altijd kort, vriendelijk en zonder iets terug te verwachten, dat brengt je verder dan een dreigende toon. Mischa: wil je je NAS of harde schijf echt leeg, vertrouw niet op de fabrieksreset, want die wist je data vaak niet. Jaag er desnoods een spijker doorheen.See omnystudio.com/listener for privacy information.