Tijdens hackathon Hâck The Hague 2024 troffen ethische hackers meerdere kwetsbaarheden aan in de operationele technologie (ot) die door de gemeente Den Haag wordt ingezet. Ook een kwetsbaarheid in een webportaal werd geclassificeerd als ‘een hoog risico’; het stelde de hackers in staat een aanpassing te doen in het portaal met mogelijk ernstige gevolgen voor het functioneren van de gemeente. De winnaars ontvingen een geldbedrag van ruim drieduizend euro voor hun ontdekking.
Tijdens het evenement, dat maandag 30 september werd gehouden in het stadhuis van Den Haag, zochten veertig ethische hackers naar kwetsbaarheden in laadpalen, verkeersregelinstallaties, beveiligingscamera’s, toegangssystemen en een model van een beweegbare brug. De gemeente wil niet zeggen om welke ot het gaat bij de melding over de kritieke kwetsbaarheid met een hoog risico.
Onder strenge voorwaarden en onder afspraken over responsible disclosure mochten de hackers gisteren ook apparaten openschroeven om te kijken of deze te manipuleren zijn. Dagblad Trouw meldt dat hackers erin zijn geslaagd om gratis te kunnen laden met een laadpaal. Een woordvoerder van het evenement bevestigt dat er een kwetsbaarheid is gevonden in een laadpaal, maar laat in het midden of de vondst van dit kritieke lek de eerste prijs heeft gewonnen.
De tweede prijs, ruim 1.500 euro, werd uitgereikt voor een kwetsbaarheid met een hoog risico, waarbij slechte netwerksegmentatie een groot aanvalsoppervlak creëerde. De derde prijs van ruim 750 euro ging naar een bevinding met een gemiddeld dreigingsniveau die de werking van een portaal kon verstoren. Er waren ook twee eervolle vermeldingen voor bevindingen die lagere tot gemiddelde dreigingsniveaus hadden, maar toch belangrijke verbeteringen voorstelden.
Voorzichtig
De gemeente is voorzichtig met het naar buiten brengen van details over de kwetsbaarheden omdat het leveranciers eerst de tijd wil geven om deze te dichten. Volgens Jeroen Schipper, ciso van de gemeente Den Haag, zijn de bevindingen essentieel om de digitale en operationele veiligheid van de gemeente te versterken. ‘Door onze systemen open te stellen voor deze eerlijke hackers, hebben we waardevolle inzichten gekregen in de mogelijke zwakke plekken van onze ot-infrastructuur.’ Volgens hem helpt dat niet alleen om de veiligheid van Den Haag te verbeteren, maar draagt het ook bij aan de veiligheid van soortgelijke systemen wereldwijd.
