Koen Kandelaars uit Handel is de eerste ooit die de NOS heeft gehackt. Niet met kwade bedoelingen, maar als ethisch hacker: iemand die beveiligingslekken opspoort en meldt. In plaats van een straf kreeg hij een beloning: twee NOS-shirts, twee cadeaubonnen van 50 euro, een certificaat, een bedankbrief en een rondleiding door het gebouw in Hilversum.
Koen zit in het laatste jaar van de mbo-opleiding IT-expert aan het Summa College in Eindhoven. In zijn vrije tijd zoekt hij naar kwetsbaarheden in computersystemen. "Ik vind het heel interessant om systemen binnen te dringen, te ontdekken hoe zo'n systeem werkt en wanneer een systeem iets doet wat niet hoort", vertelt hij. "Ik breek liever in dan dat ik een Netflix-film kijk. Ik krijg er een soort kick van."
Zijn interesse werd eerder dit jaar extra aangewakkerd tijdens het NK Cybersecurity voor mbo-studenten, waar hij vierde werd. Na een interview met het Gemerts Nieuwsblad besloot hij uit nieuwsgierigheid de beveiliging van nieuwssites te onderzoeken. Bij het Algemeen Dagblad en Eindhovens Dagblad vond hij niets, dus richtte hij zijn pijlen op de NOS.
Twee maanden lang werkte hij bijna elke avond aan zijn onderzoek. Uiteindelijk meldde hij elf beveiligingslekken. Zo kon hij de e-mailadressen van 850 van de 960 medewerkers achterhalen, waaronder die van mensen bij landelijke en regionale omroepen, zoals Omroep Brabant.
QR-code
Ook vond hij een soort bouwtekening van het systeem waarmee de NOS nieuws uitwisselt met regionale omroepen en persbureaus. "Ik kon gewoon naar hun website gaan, een bestand downloaden en daarin stond precies hoe alles van binnen werkt. Alsof je een plattegrond van een bank vindt, inclusief waar de kluizen staan en welke sleutels er zijn."
Daar hield het niet op. "Omdat ik het een hele interessante organisatie vond en een tweede shirtje wilde, ben ik verder gaan zoeken", vertelt Koen. Hij ontdekte een slecht beveiligde handleiding in een online omgeving van de NOS. Via een zichtbare QR-code kon hij toegang krijgen tot het account van een medewerker met veel rechten. "Het ging om een project-engineer met verhoogde rechten, dus meer bijvoorbeeld dan journalisten. Ik kon zo in zijn Outlook zitten, mails bekijken en versturen en wachtwoorden resetten via zijn e-mail."
5 miljoen euro
Daarmee had hij toegang tot het hele systeem en kon hij voor 5 miljoen euro schade aanrichten. "Maar ik ben niet verder gegaan dan scannen en inloggen." Hij legde zijn bevindingen midden in de nacht vast op video en stuurde die direct naar de NOS. De volgende ochtend kreeg hij al bericht dat het lek was gedicht.
"Ze waren me ontzettend dankbaar." Naast een nieuw shirt en nieuwe cadeaubon kreeg hij een rondleiding in het gebouw en mocht hij vanuit de regie het journaal van zes uur meemaken. "Het gaat mij niet zozeer om geld. Ik heb veel geleerd en deze ervaring is onbetaalbaar. Dat is niet in geld uit te drukken."
Aandacht
Zijn ontdekking leverde hem ook veel aandacht op. "Ik mag spreken op evenementen, mensen bieden mij een baan aan, word uitgenodigd voor koffie, mensen adviseren bedrijven mij aan te nemen en ik krijg opdrachten. Ik ga zeker door met mijn passie." Ook kreeg hij ruim 4.000 likes op zijn LinkedIn-bericht. "Ze vinden het allemaal heel indrukwekkend, zeker op deze leeftijd."
Toch maakt Koen eerst zijn opleiding af. Daarna wil hij Cybersecurity gaan studeren aan Fontys in Eindhoven. Uiteindelijk wil hij als ethisch hacker aan de slag. Koen heeft nog geen poging gedaan om bij Omroep Brabant in te breken. "Maar wie weet", lacht hij.


