LUISTEREN
Cyberhelden
AFLEVERINGEN
← Alle afleveringen
EP 58 · 41 minuten

Cyberhelden 58 - Microsoft MVR Vaisha - De nummer 1 hacker van Nederland?

De Cyberheld van deze week is Vaisha Bernard, Chief Hacker bij Eye Security en Microsoft's Most Valuable Researcher (MVR). We gaan in op zijn achtergrond en hoe hij in de Cybersecurity terecht is gekomen. Daarna voelen we hem aan de tand over zijn "niet helemaal in-scope" activiteiten die hebben geleid tot zijn benoeming tot Microsoft MVR.

Bronnen:
- C38C3: From Simulation to Tenant Takeover (https://www.youtube.com/watch?v=uowTmPomYcg)
- BlackHat USA: Consent & Compromise (https://i.blackhat.com/BH-USA-25/Presentations/USA-25-Bernard-Consent-and-Compromise-Abusing-Entra.pdf)
- Belfer Center: National Cyber Power Index (https://www.belfercenter.org/publication/national-cyber-power-index-2020 &
https://www.belfercenter.org/publication/national-cyber-power-index-2022)
Afbeelding voor Cyberhelden 58 - Microsoft MVR Vaisha - De nummer 1 hacker van Nederland?
SoundCloudApple Podcasts

TRANSCRIPTIE

whisper

Zij wel. En welkom bij alweer een nieuwe aflevering van Zij wel. De podcast waar ik in gesprek ga met mensen die zich bezig houden met digitale dreiging. Mijn naam is Ronald Prins en vandaag heb ik alleen Marco Kuipers aan tafel, want Jelle staat op de piste. Maar we hebben ter compensatie wel weer een andere cyberheld in de studio.

En welkom Marco. Hey, hallo Ronald. Ja, en onze held. Hij is chief hacker bij iSecurity, maar hij is ook de nummer één most valuable researcher van Microsoft. Dat staat op het leaderboard.

En het laatste kwartaal, 2025, heeft hij zelfs twee keer zoveel punten als de nummer twee die erop staat, wat voor mij een hele bijzondere prestatie is. Welkom Faischa. Ronald, goeien dag. Faischa Bernard, een iemand waar je nog heel veel meer over gaat horen. Hij probeerde altijd een beetje stiekem te doen, maar hij zit tegenwoordig in het normale bedrijfsleven.

Maar daar gaan we straks in duiken. Hoe is het met jullie ondertussen, Marco? Ja, gaat lekker. Het was drukweekend. Markt ook een gastcollege gegeven op Tia Stilburg en dat was hartstikke leuk om te doen.

Een stukje over aanvallers mindset en hoe je dan vanuit een aanvallers perspectief naar een netwerk kunt kijken. En zo proberen de mensen aan het denken te zetten van, wat zijn eigenlijk manieren waarop ik nog niet naar mijn netwerk heb gekeken. Heel leuk om te doen. Ja, dat is leuk om les te geven. Dat dringt je ook jezelf om een ding even weer goed op een rijtje te zetten altijd.

Ja, zeker. Ik vind het altijd leuk om te proberen zo goed mogelijk interactie te hebben. Ja, dat is een kunst. Ja, dat kan je altijd van blijven leren. Faischa, wat speelt er in jouw leven?

Ja, een heleboel. Ik ben heel voorzichtig, dat weet eigenlijk nog helemaal niemand, maar heel voorzichtig aan het kijken naar een nieuw huis. Kijk aan. Maar dat kost wat energie, dus daar zijn we het weekend mee bezig geweest. Maar verder hebben we ook een heel ontspannen dagje in de sauna gehad.

Om even alle stress van de week weer uit te zweten. En een beetje voorbereiden op een hele pittige podcast, want we gaan heel erg de diepte in met jou. Je naam is Faischa Benard. Beetje Frans of zo klinkt dat? Waar komt dat vandaan allemaal?

Ik heb geen Franse roots. Ik heb ooit DNA-onderzoek gedaan en daar bleek ik toch best wel wat viking bloed te hebben. Frans zat er niet tussen. Haha, oké. Viking Faischa.

Hey, ja, ik heb natuurlijk even op je LinkedIn gekeken. En je hebt een hele behoorlijk brede achtergrond met astrophysica, cognitieve AI aan de UvA. En toen kwam je bij een organisatie waar heel veel tophackers ooit begonnen zijn. Wat was het? Ja, klopt.

Ja, ook op LinkedIn staat de Rijksoverheid. Nee, er staat ook NFI. Ja, oh, je bedoelt daar. Laten we bij het begin beginnen. Daar heb ik afgestudeerd inderdaad, bij het Nederlands Forensies Institute.

Precies. Klopt. En je wou er niet blijven werken? Nou, ik heb er een maand of acht, tien gezeten, maar ze hadden geen vaste plek voor. Dus toen ben ik rond gaan zoeken.

Toen vond ik gewoon een vacature bij werken voor Nederland bij de AFD. Als data scientist. En dat sloot echt precies aan op mijn studie AI die ik toen had gedaan. Dat is niet geschoten, is altijd mis. Dus laat ik gewoon een brief schrijven.

En toen werd ik aangenomen. De eerste sollicitatie ooit in mijn leven. Nice. Was je zelf verbaasd? Ik was best verbaasd, ja.

Oké, wist je van tevoren waar je aan begon? Ik had geen idee. Ik begreep de helft van de vacature niet, omdat er allemaal termen in stonden waar ik nog nooit van had gehoord. En zelfs na wat Google had begrepen, begreep ik nog steeds niet waar het over ging. Maar de mensen aan de andere kant van de tafel, snapten die wel eigenlijk wat je moest doen?

Dat is ook een goede vraag. Ik kwam daar uiteindelijk als data scientist in een team terecht waar niet heel veel technische kennis aanwezig was. En dat was voor mij ook wel een beetje jammer, want ik dacht, nou hier kan ik heel veel leren. En toen bleek ik vooral eigenlijk een heleboel problemen op te lossen, die zeker niet aansloten bij wat ik allemaal tijdens mijn studie had geleerd. Hartstikke leuke dingen gedaan om die problemen voor dat team op te lossen.

Ze hadden een heleboel data en er waren eenboel mensen die moesten zoeken in die data, maar die konden dat helemaal niet. Dat heb ik voor ze geregeld, zodat ze dat wel konden. Maar toen eigenlijk begon het overwijzen te kriebelen dat ik wat anders wilde. En welke tijd was dat? Welke jaar was dat toen?

2010, 2011 hebben we het over. Ah ja, oké. Toen vond ik intern een vacature voor offensive cybersecurity specialist. Dat had toch wel mijn aandacht. Ik heb daar geen opleiding in, maar ik heb wel in mijn puberteit behoorlijk wat zitten hobbyen.

En dan komt toch die ex-KCD-comic bij me naar boven waarin staat hoe waardevol is een universitair studie ten opzichte van een paar avonden hobbyen. Die paar avonden hobbyen bleken meer waard bij deze vacature. En toen intern doorgestroomd en daar heb ik een hele leuke afdeling terecht gekomen. In het begin heb je zitten werken met data die anderen hadden binnengehaald en daarna was jij iemand die veel data ging binnenhalen. Bijvoorbeeld?

Bijvoorbeeld, ja. Toen je daar begon was het toen al de jointclub of nog niet? Nee, nog niet. Volgens mij is dat 2014 geweest uit mijn hoofd. Dat de IJvD en de MVD samen zijn gegaan in de joint SIG&CYBER unit met de SIG& en cyber afdelingen.

Toen is het een beetje veranderd, maar uiteindelijk is het team gewoon groter geworden. En hebben we twee teams geïntegreerd tot een heel leuk team daar. En daar ook andere leuke mensen leren kennen. Ja, tof. Merkt u dan ook cultuurverschil daar?

Tussen de twee werelden? Vooral qua procesmatige achtergrond, laat ik het zo een beetje verwoorden. Bij een was het een zootje, bij de ander moest je je zes handtekeningen halen voordat je wat kon doen of zo. Je moest bij allebei minstens zes handtekeningen halen. En dat was bij allebei op een bepaald niveau een zootje en een ander niveau niet.

En wat je verwacht bij een gemiddelde overheidsorganisatie. Het blijft een overheidsorganisatie. Ik wil even terug naar de opmerking die je maakte van wat je op pittige studies gedaan hebt. Uiteindelijk ben je in een baan terecht gekomen waar ook je hart echt lag. Waarvan je zei dat heb ik gewoon thuis allemaal geleerd en helemaal niet op de universiteit.

Heb je dan ook achteraf terugkijkt niet gemerkt dat je toch op een bepaalde manier van denken hebt gekregen op de universiteit die je wel geholpen heeft om een bepaalde probleem aan te pakken? Nou 100% ik denk dat überhaupt het kunnen schrijven van een goed stuk. Het analytisch kunnen benaderen van het probleem. Een hele hoop wiskunde die toch nuttig blijkt. Redelijk gestructureerd kunnen programmeren.

Ik zeg redelijk want ik ben echt een verschrikkelijk slecht programmer. Maar in ieder geval iets van code kunnen schrijven dat heb ik daar ook geleerd. Logisch kunnen nadenken. Dus het helpt wel ja. We moeten voorkomen dat allemaal hackers denken ik ga gewoon die studie skippen want ik kan het al.

Ik denk namelijk ook wel dat dat wel zinvol is. Al moet ik wel zeggen dat soms vinden we het fijner om bijvoorbeeld HBO's aan te nemen dan universitair studenten. Die hebben gewoon al meer praktijk ervaring. Je komt af en toe als universitair studenten tegen die nul praktijk ervaring hebben. Dat is iets wat ze hebben geleerd.

Dat ken ik ook die heb ik ook een taal van gehad met solliciteren. Maar dat is juist iets wat je heel snel moet uitfilteren door ze gewoon een opdrachtje te geven. Ga je maar naar binnen dan ofzo. Het kost in het begin wat meer tijd maar als ze gaan vliegen dan gaat het soms ook wel een stuk verder. Ik vind dat fascinerend.

Er zijn heel veel theoretische mensen die zeggen ik wil ook super hacker worden. En die denken nou dan ga ik een studie doen en dan ga ik er vanaf en dan kan ik het. Maar het zijn blijkbaar toch andere vaardigheden die je nodig hebt. Ja een stukje creativiteit, een stukje durf en vooral een enorme scepticist ten opzichte van alles wat je ziet. En altijd denken alles beter te weten.

Iedereen om je heen vindt het verschrikkelijk. Dat kan ik je wel vertellen. Maar het is wel een karaktertrek die kan helpen om in dit vakgebied wat verder te komen. Een enorme doorzettingsvermogen. Je bent ergens mee bezig en probeer binnen te komen.

Uiteindelijk moet je toch een vier uur in bed wat je moet volgende dag weer naar je werk. Dan lig je nog wakker en om vijf uur denk je op een gegeven moment dit moet ik nog proberen. Dan gaat het toch weer uit. Dan denk je deze nacht heb ik het nog niet meer gehad. En dan toch maar proberen.

Maar dat deed je toen je veertien was. Waar zat je toen allemaal binnen? Wat heb je toen allemaal stuk gehackt? Nou ik weet het niet meer precies. Als ik het nog zou weten denk ik niet dat ik dat hier moet noemen.

Maar ik was vooral een beetje aan het hobbyen en een beetje de grenzen aan het verkennen van wat er kon op internet. Ik zat op van die chatkanalen op IRC. Waar allerlei mensen waarschijnlijk ook allemaal pubers vooral een beetje aan het kijken waren. Een beetje aan het showen. Kijk nou wat ik kan.

Er zat nul drive achter van geld daarmee verdienen of een criminele mindset. Het was ja, kwam jongens gedrag. En ik kwam er toen ook al wel heel snel achter. Ik dacht dat dit misschien niet de crowd is waarmee ik het ver ga schoppen in mijn leven. Ik denk dat ik ook toen mijn zestien heb besloten.

Mede doordat mijn ISP me toen voor twee weken had afgesloten. Dat was echt het grootste drama in mijn leven. Daarna heb ik mezelf voorgenomen om binnen de grenzen te blijven van wat er mag. Toen je ook nog iets aan je schoonmoeder ooit had geleerd toch? Ja dat is een goed verhaal.

Ik was toen veertien. Ik had net een vriendinnetje op de middelbare school. Die woonde ook nog bij haar ouders. En haar moeder zat op een webchat voor 50 plusers. En daar had ze ruzie gekregen met een andere vrouw.

Omdat ze volgens mij allebei achter dezelfde mannen aan zaten. Zoiets was het. Toen heb ik die webchat gereversed. Toen kwam ik erachter dat die IP-adressen ergens eind cryptid werden meegestuurd. Toen heb ik haar route toegang tot een snelle verbinding gegeven die ik ergens toevallig had liggen.

En heb ik haar een ping of death leren sturen naar dat IP-adress. Toen ging haar rivale offline. En toen kon zij 1 op 1 chatten met de mannen waar ze geïnteresseerd in was. Zonder gestoord te worden. Fantastisch.

En nu chief hacker en co-owner by iSecurity. Dat is heel wat anders dan een chat app-owner denk ik. Wat doe je daar precies? Ik heb in de afgelopen vijf en een half jaar een heleboel verschillende dingen gedaan. Ik ben natuurlijk al vanaf het begin betrokken bij AI.

Dus met z'n vijf zijn we AI gestart. Eind 2019, begin 2020. Het begin was het vooral zoeken naar hoe gaan we dat idee dat we hebben op de markt brengen. Hoe gaan we de eerste klanten werven. Hoe gaan we dat überhaupt uitvoeren.

Als we dan klanten hebben. Hoe gaan we dat idee dat we hebben ook daadwerkelijk in de praktijk brengen. Dus het eerste jaar zijn we vooral bezig geweest met sales, met marketing. Maar ook met het opbouwen van het product. Hoe bouw je een sok?

Wat ga je dan doen? Hoe ga je alerts analyseren? En hoe ga je dat ook automatiseren? Hoe ga je dat op een manier doen dat het schaalbaar is? Daar hebben we het begin heel veel over nagedacht.

Ik had zelf op me genomen om ook instant response op te zetten binnen de organisatie. Dus vooral ook de klanten te werven die op dat moment te maken hadden met een cyber incident. En die cyber incidenten ook daarbij te helpen. Ik heb geen ervaring met instant response. Maar het kunnen nadenken, hoe een aanvaller nadenkt, hielp wel enorm in ook voor instance onderzoek te doen.

En kijken van waar zou een aanvaller allemaal zijn geweest. In sommige gevallen nog had ik eerder door wat ze precies hadden gedaan dan ervaren instant responders. Maar ik wist niet precies welke tools ik nou eigenlijk moest gebruiken. Dus ik was gewoon aan het greppen door eventlogs. Dat komt beter zeg maar.

Je moet eerst spartaal beginnen en dan langzaam mag je automatiseren. Precies. Toen de eerste drie jaar hebben wij die dingen teams gebouwd. Dus mensen aangenomen die in ons security brace center kwamen werken. Hun het vak geleerd.

Instant responders aangenomen. Met een half jaar instant response ervaring. Ook junioren uitleggen hoe ze het moeten doen. Dus die gingen ook allemaal greppen door eventlogs. En langzaam ook wat mensen gevonden die wel ervaring hadden.

Zodat die het wel verder konden professionaliseren. En wat specials links en rechts. Dus af en toe kwam er een hele leuke opdracht langs. Die helemaal buiten onze core business zat. Daar is wel eventjes mee bezig geweest.

Maar vooral blijven focussen op hoe gaan we dat product waarvan we echt visie hebben. Dit gaat werken op een schaalbare manier om dat ook schaalbaar te maken. En die focus te blijven houden. We kunnen allerlei dingen eromheen gaan doen. Maar dan bouwen we niet aan onze core business.

Laten we dat ene wat we doen. Laten we dat zo goed mogelijk doen. Met de beste mensen. En gewoon de beste in Europa worden. Dus dat had een enorme focus geweest de eerste drie jaar.

Op een gegeven moment was ik en expert. En director. En nog sales en marketing aan het doen. Cultuur binnen het bedrijf bewaakten. Junioren aan het opleiden.

Dat was wel heel veel. Je denkt dat je nog meer uur per week kunt gaan werken. Maar er zitten er niet veel meer uur in deze week. Toen de keuze gemaakt. Waar krijg ik energie van en wat kost dat energie.

En besloten om uit de boord te stappen. Management over te dragen. En zelf vooral weer in die expert rol te blijven zitten. Dat was ook het moment dat we dermate de bestellingen hebben. Dat we dermate aantal klanten begonnen te krijgen.

Dat ook iets wat we er bij deden in het begin. Het verkennen van de aanvalse oppervlakte van onze klanten. Het proberen te hacken van onze klanten. Kijken waar de kwetsbaarheden zaten. Waar nog misconfiguraties zaten.

Dat gedeelte begon ook langzaam meer aandacht te vereisen. Daar ben ik toen anderhalf jaar vooral mee bezig geweest. Dat uit te bouwen. Ook weer een team te vormen. Dat team staat nu net.

Dat heb ik ook weer overgedragen. Het afgelopen half jaar focus ik me vooral op research en innovation. Is dat waar je al die kwetsbaarheden vindt. Waar je dan met prijzen wint? Dat is nu het afgelopen half jaar geweest.

Dat ik de vrijheid had om te onderzoeken waar ik zin in had. Toen dacht ik, laten we Microsoft aanpakken. Wat zou er gebeuren als we Microsoft benaderen als of ze een klant zijn. Even hun aandachtse oppervlakte bekijken. Wat gaan we nou vinden?

Dat blijkt behoorlijk wat aan de aandachtse oppervlakte zijn. Ik zag ook op links in een post geschreven met een mooi anekdote. Je studie al een keer een rapport naar het Microsoft Security Response Center. Over dingen die je gevonden had. Maar er kwam niet heel veel terug.

Ik had in 2020 een heel klein dingetje. Ik dacht, volgens mij hoort dit niet. Als je een alias had in Exchange. Dan kon je het originele emailadres van iemand achterhalen. Zonder authenticatie, zonder een email te sturen.

Ik dacht, volgens mij is dat niet de bedoeling. Die alias hoor je van buitenaf. Niet te kunnen koppelen aan wat er achter zit. Daarvoor maken mensen volgens mij een alias aan. Dat had ik ingestuurd.

Het werd na twee maanden afgeschoten. Is er geen kwetsbaarheid? Is by design? Ja. Blijkbaar moet ik met iets beters komen hier.

Willen ze überhaupt aandacht besteden aan wat ik te melden heb. Maar dat triggerde wel een beetje iets. Ik ga een keer iets vinden. Dat dacht ik toen. Ze gaan een keer wel luisteren.

Toen ben je heel structureel aan de gang gegaan? Nee, niet direct. Ik had daar helemaal geen tijd voor. Zeker niet in die tijd. Het was eigenlijk drie jaar later, 2023, dat ik een featurelening aan het opbouwen was.

Waarbij ik bij diverse klanten een phishing simulatie aan wilde laten komen. Ik wilde automatiseren dat bij die klanten, die onze IP-adressen van de service die we gebruikten, dat die in de lowlist kwamen om e-mail door te laten. Ongeacht of het herkend was als phishing. Het was een phishing simulatie. Grote kans dat het zou worden herkend door filtering.

Dat bleek vrij complex en alleen via een portal te kunnen. Toen dacht ik, ja, ik wil het automatiseren. Toen heb ik de back-end API uit de front-end request gefilterd. Gekeken hoe die werkte, welke token je nodig had. Toch automatiseerd dat je tegen die back-end API direct bij een hele lijst aan klanten dat door kon voeren.

Toen op een gegeven moment kwam ik rare data tegen. Toen ik dat aan het doen was, dacht ik, dit klopt niet. Toen realiseerde ik dat ik settings zag van een andere klant dan de klant waar ik op dat met de setting aan het wijzigen was. Dat triggerde ook bij mij eens, hey, dit hoort niet. Dit ruikt naar een kwetsbaarheid.

Daar ben ik gelijk bovenop gedoken. Daar heb ik er helemaal uit te pluizen. Daar is gekomen dat je inderdaad op die back-end server uiteindelijk in een remote PowerShell-sessie terechtkwam. Maar dat die sessies niet netjes afgesloten werden. Dus dat er een raceconditie was als jij toevallig op dezelfde server explicit een sessie opvraagt, waar iemand anders al een openstaande sessie heeft.

Dan kom je in zijn of haar remote PowerShell-sessie terecht. Maar dat was wel een beetje willekeurig. Je kon dus niet heel erg kiezen bij wie je dan naar binnen wou. Je moest maar kijken wat er in het rijd opnieuw. Je kon het niet kiezen.

Het was net iemand die tegelijkertijd ook die settings aan het aanpassen was. Maar ik heb dat uiteraard wel op schaal geautomatiseerd. Waardoor ik in één klap tegen 500 back-end servers aanpraat. Om te kijken waar nou een sessie open staat. In het weekend bleek er geen te zijn.

Maar maandagochtend had ik binnen een paar seconden erin te pakken. Dat toen gerapporteerd. Daar heb ik toen mijn eerste echte bug bounty voor gekregen bij Microsoft. Dat accepteerden ze wel dat dat een bug was? Dat was zeker weer een bug.

Dat is zo heet een bug. Ik heb daar toen ook op de Chaos Communication Congress, de CCC, eind 2024 de presentatie over gereden. Die was ook hartstikke leuk om een keer op het podium te staan. Op een grote conferentie om zoiets te presenteren. Hoe vaak had je dat al eerder gedaan voordat je daar ging staan?

Wel eens een kleine schaal. Maar ik stond toen op de Mainstage. Dat is een zaal van 3000 man. Dus dat was ook wel echt even spannend. Maar ik vond het wel heel leuk om te doen.

Kunnen we even springen naar het moment dat je opeens toegang had tot 24 interne Microsoft services? Ja, dat is... Ik was toen inderdaad geïntegreerd geraakt. Ik dacht nu ga ik een keertje verder zoeken. Toen vorig jaar ongeveer rond deze tijd.

Toen was ik wat actiever echt bewust op zoek gegaan. Kan ik nou een quest bij het vinden bij Microsoft? En eigenlijk per toeval kwam ik op een domein van ze waarop ik dacht... Wat gebeurt hier eigenlijk? Ik kwam op bloginschermen.

Het stond achter Entra. En het redirecte naar... Het was duidelijk een interne service. Maar eindigt dat dan wel op Microsoft. com?

Of heeft dat een hele andere domein aan? Dit was eigenlijk eng. ms. Dat was hun interne engineering systeem. Of hun engineering documentatie, hun wiki.

Ik dacht, wat gebeurt er eigenlijk als ik hier met mijn credentials inlog? Gewoon mijn eigen Microsoft account. Dat het helemaal niet bij Microsoft hoort. En op een of andere wonderbaarlijke manier kreeg ik toegang. Met mijn eigen account.

Fuck. Dus je hoeft alleen maar die hostname te weten en een account te hebben en dan kooi je er al in? Ja, het zat er een paar kleine stapjes tussen. Het was niet op de hoofdwebsite, maar op een backupversie. Het proces was echt heel simpel.

Ik loggde in met mijn eigen account. En toen had ik volledige toegang tot hun interne engineering wiki. Ik kon het niet laten om in de search bar het woord password in te voeren. Toen kreeg ik 22. 700 hits.

Dat waren referenties naar Key Vault. Dus de password stond er zelf niet in. Het was een heel documentatie over alles wat hun engineers hadden gebouwd. En kon je die hele wiki downloaden of heb je dat maar niet gedaan? Dat heb ik maar niet gedaan.

De helft. Ik moet eerlijk bekennen, mijn nieuwsgierigheid bedwingen is nog nooit zo moeilijk geweest. Maar dat zijn wel weer van die moral-ethische grenzen waar ik gewoon niet over heen ga. Het staat in de rules of engagement. Ze braaien je data, waarvan je weet dat je het niet hoort te zien.

Dan stop je en dan meld je het. En dat doe ik ook wel. Dat is echt zo'n grens. We staan aan de goede kant. We doen dit om de wereld veiliger te maken.

Dan zijn dat gewoon je regels waar je mee werkt. Als één van die services interne, ook de interne lijst met de grootste risico's die Microsoft zelf had? Ja, nadat ik op die engineering site terecht kwam, dacht ik dit is gek. Hoe is dit gebeurd? Toen ben ik glad uit gaan pluizen.

Toen dacht ik, kan dit ook op andere plekken gebeuren? Toen heb ik eerst moeten weten wat is allemaal interne, wat is van Microsoft en waar kan ik dit soort login-portals vinden? Ik ben subdomains gaan innumereren van Microsoft. com, Azure. com, Office.

com, et cetera. Daar kwam een lijst met 650. 000 subdomainen uit. Ik ga filteren hoeveel er HSPS opstaan. Hoeveel daarvan redirect naar Entra voor authenticatie.

Daar kwam ik uiteindelijk op een stuk voor 700 waarvan ik zeker wist dat ze Entra gebruikte voor authenticatie en interne Microsoft diensten waren. Die heb ik allemaal getest op deze misconfiguratie. Er bleken er 24 gewetsbaar te zijn. Een paar waren best wel schokkend. Een was de beeldstraat waar in de cloud Windows werd gebouwd.

Nog één keer? Een beeldinfrastructuur waar onder andere Windows werd gecompileerd. Waar alle broncode ook stond? Als ik verder had gegraven had ik die vast terug kunnen vinden. Ik kon daar code op uitvoeren.

Je kon ook die broncode wel aanpassen. Dat had theoretisch best gekund denk ik. Niet ergens je hackershandel achtergelaten of zo. Je denkt te lief Marco. Met je achtergrond klopt dat niet.

Dan moet je denken dat je je wat achterlaten moet, zodat ik volgende keer niet zoveel moeite hoef te doen om in de Microsoft machine te komen. Dat ik nu overal naar binnen kan. Er zijn genoeg mensen om jullie heen die daar heel veel interesse in gehad zouden hebben denk ik. Dan heb je het weer over die moreel ethische grens. Ik sta aan de goede kant.

Dit zijn grenzen die je niet over gaat. Is dat niet iets wat je heel even door je hoofd gaat? Als ik hier nu zit kan ik gewoon alles. Ik kan vanaf nu in elke nieuwe Microsoft hoofd naar binnen. Je hackers mindset verdwijnt niet.

Uiteraard gaat er van alles door je hoofd in wat de mogelijkheden zijn. Maar dat is puur van hoe werkt dit en wat zou ik nu allemaal kunnen? Dit is wel het moment geweest dat Microsoft het meest kwetsbare ooit geweest is. Er is geenkele andere hack denk ik bekend dat iemand zo ver gekomen is. Nou, weet ik niet.

Er was nog een andere dat vond ik zelf ook wel interessant. Er was ook een systeem waarin ze alle huidige risico's voor de Microsoft organisatie hielden. Daar stonden duizenden stukjes informatie in. Je kon ook filteren op severity. Je kon filteren op de most severe risico's.

Er was een winkje van is het een security risico of niet. Als je op de most severe security risico filterde en dan ook nog het filter unresolved aan vingte. Dan kreeg je een hele mooie lijst met zero days die in de organisatie waren ontdekt. Die nog niet opgelost waren. Maar wel al bekend en gemonitord.

Wow. Oké, met de complete teksten waar voldoende in stond, zat je zelf ook zo kunnen uitbuiten? Daar leek het wel op. Ik weer niet te lang durven kijken met jou. Dit was ook weer het moment waar mijn nieuwsgierigheid echt heel hard bedwongen moest worden.

Maar waar ik toch op dat moment heb gezegd, ik maak hier nu een screenshot van. Ik stuur dat direct op naar Microsoft. Dit is ook kwetsbaar. Fix it. En schrikken ze zich helemaal niet dood dan?

Ze waren er wel vrij snel bovenop gedoken om dit op te lossen. Hey, je was wat grote dingen bezig. Je meldde dit. Maar op de achtergrond liep ook iets van een soort wedstrijd. Dat leaderboard.

Kan je daar wat meer over vertellen? Plot. Dit was een jaar geleden ongeveer dat ik deze misconfiguratie heb gevonden. Toen hebben ze me ook uitgenodigd. Ik heb hier een verhaal van gemaakt dat ik afgelopen zomer op Blackhead-U.

S. A. gepresenteerd. Toen ben ik door al die kwetsbreders te melden heb ik ook punten gekregen. Ze hebben een leaderboard.

Je krijgt per gemeldde kwetsbreder punten. Doordat ik daarvoor een aantal punten had verzameld was ik zeventiende geëindigd vorig jaar in het Most Valuable Researcher Leaderboard. Dat is best netjes toch? Daar was ik al heel trots op, let ik zo zeggen. Tegelijkertijd, ik wil eigenlijk ook al gewoon eerste worden.

En toen dacht ik, hoe ga ik dat nou doen? Wat heb ik? Ik heb een lijst met 650. 000 subdomijnen van Microsoft. En wat wel grappig is, die misconfiguraties bij die interne diensten die ik had gemeld, daar heb ik allemaal geen bounties voor gekregen.

Geen bug bounties. Omdat ze allemaal out of scope waren van hun bug bounty programma. Je mag Microsoft zelf niet hacken? Nee, het stond in hun Rules of Engagement blijkbaar. Het is niet de bedoeling dat je de Microsoft infrastructure gaat pen testen.

En toch krijg je punten? Ja precies. Op een of andere manier graven ze me er punten voor. En dat triggerde me eigenlijk. Want elke keer zeiden ze dank je wel in al die cases.

En elke keer zeiden ze, oh wauw, super goede vondsten. We zijn wel eens dankbaar met je werk, out of scope. Maar je krijgt er punten voor. Toen dacht ik, als ik nou eerst wil worden, volgens mij dit stuk van die infrastructure is nog helemaal niet binnenstebuiten gecreëerd door al die bug bounty hunters die op jacht zijn naar geld. Die het ook voor hun werk doen.

Of die ervan moeten leven. Ik vind het prima om dit gewoon voor de lol te doen. En punten binnen te harken. Laat ik eens kijken wat daar nog te vinden is. Dus ik ben begin oktober van start gegaan met die lijst met 650.

000 subdomains. En ik ben rustig eens gaan kijken, hoe ga ik nou het vinden van kwetsbaarheden, het vinden van misconfiguratie, en dat op een manier automatiseren, dat ik gewoon alles ga bekijken wat ze hebben. Maar dan gewoon snel er doorheen. Waar zit laaghangend fruit, waar zit iets waar ik gewoon binnen een paar minuten kan zien, volgens mij klopt dit niet. En hoe ga ik alle tedious werk, alle herhalende dingen gewoon allemaal vanzelf doen.

Toen heb ik een beetje het hobby, een beetje het klussen, scriptjes geschreven, als geweldig programmeur die ik niet ben. Maar uiteindelijk had ik iets wat lekker op het achtergrond kon draaien. En rustig een beetje kon kijken van wat vindt het allemaal. En één voor één overal langs gegaan. Ik heb in totaal in het kwartaal 162 cases ingeschoten bij Microsoft.

Alerlei bevindingen. Een stuk of 100 daarvan waren low impact, moderate impact. Dat betekent, dank je wel voor de melding, het is inderdaad niet de bedoeling dat dit op deze manier verloopt. Maar we vinden het niet belangrijk genoeg om echt een case van te maken. Dus dan zetten ze het report door naar...

Je krijgt er geen punten voor dan? Daar krijg je geen punten voor. Die zetten ze door naar het engineering team. Het wordt er waarschijnlijk wel opgelost in de volgende iteratie. Maar meestal hoor je er niet zoveel meer van terug.

En nog steeds niemand die dacht van, goh die scope, die files, die gaat wel heel ver. Dat komt zo. Naast die 162, er waren een stuk of 80 waar helemaal geen kwetsbaarheid. En 52 waren important of critical. Dat zijn dingen waar ze wel een case van maken.

Die ze wel gelijk op pakken. Daar zaten ook echt wel een paar hele serieuze dingen tussen. Nog niet alles is 100% gefixt. Het meest is ondertussen gefixt. Dus de echte details kan ik niet geven.

Maar er zat er eentje tussen waar ik bijvoorbeeld het volledige interne Azure Kubernetes cluster van Microsoft over kon nemen. Alle pods, remote code execution. Het is ook wel fucking ernstig dat het open stond allemaal. Het was niet zo letterlijk open. Maar er waren een chain aan misconfiguraties.

Een denkfouten waardoor het opeens een heel klein schakeltje ergens omviel. Wat wel een heel zwak schakeltje was. Maar één stapje terug dan. Want Microsoft draait zo'n programma om uiteindelijk mensen een beetje te kanalyseren. Hoe ze zich los mogen gaan op de infrastructuur van Microsoft.

En vooral op die plek waar dan eigenlijk klantenfroon data hebben staan. Dus die krijgen mensen een beetje geld voor. Dat kan ook wel eens in de 50. 000 dollar loop volgens mij als je iets moois vindt. Maar aan de andere kant, of ik moet het mis hebben, maar ga ik ervan uit dat Microsoft ook voor miljoenen dollars aan securitybedrijven inhuurt om ook hun infrastructuur te testen.

En die vinden dit soort dingen niet. Dat is inderdaad een hele scherpe observatie. Ik denk dat iedereen die wel eens een pen tester heeft ingehuurd. Ook wel weet dat het niveau van pen testers waar je ze ook maar vandaan haalt en hoe je ze ook maar inhuurt. Ongeacht de prijs, dat het enorm divers is.

Maar je gaat in ieder geval nooit iemand vinden die je 100% gaat vinden. Of die alles perfect analyseert. Je zal altijd maar een kleine blik vanuit één bepaalde optiek krijgen op jouw product of jouw infrastructuur. Heb je dan een kunstje wat jij goed kan, en dat heb ik toevallig nooit iemand anders bekeken, maar als jij volgend jaar weer af dit jaar 26 aan de gang gaat, ga je dat niet nog een keer lukken om zelf veel foutjes te vinden? Ja, dat is zeker geen respectloos vraag.

Ik denk dat dat voor iedereen geldt die dit doet. Het is niet per se dat je maar één kunstje kent, maar dat iedereen kent maar een paar dingetjes. Hoe lang je ook in het vakgebied zit, hoeveel verschillende dingen je ook weet. Iedereen heeft een bepaald deel van een stukje van de puzzel. Ik ben iets beter in web applicaties, maar ik kan bijvoorbeeld totaal niet reverse engineeren.

Er zijn heel veel programeertalen waar ik te weinig ervaring mee heb om een goede code review te doen. Je kan zeker niet alles weten. Ik kan zo vier of vijf mensen opnoemen bij AI waarvan ik denk dat ze veel betere hackers zijn. Die kan dit weer veel beter, en die kan dat weer veel beter. Daarom is het in het vakgebied ook zo belangrijk dat je verschillende invalzoeken blijft houden.

En dat je teams hebt ook. Hoe meer verschillende expertise je in huis hebt, hoe completer dat beeld dat je kan krijgen. Je kreeg een shitload aan punten, omdat je zo verschrikkelijk veel gevonden had. Hoeveel had je nog uit je hoofd? Ik had 1650 punten.

En de nummer twee? Die had er rond de 700. Dat is minder dan de helft. Ja, minder dan de helft. Dat is gigantisch.

Als jij nu weer wat zou melden, moet je dan nog steeds langs die eerste lijns helpdesk? Ja, en nog steeds worden ze af en toe afgeschoten omdat ze het niet begrijpen. Dat proces is niet gewijzigd. Ik heb ondertussen wel links en rechts wat contact gehad. Dus ik ken het team ook wel.

Dus als daar echt iets tussen zit waarvan ik denk dit loopt helemaal in de soep. Dan kan ik wel altijd iemand rechtstreeks e-mailen tegenwoordig. Maar ze bevelen er nog steeds aan om wel gewoon volgens het proces te gaan. Dan kunnen ze het wat beter... Toch een beetje Amerikaanse, de compliance angle en dat je het proces voert.

Ja, want alles wat jij inschiet... Ik neem aan dat er ook weleens een keer geëscaleerd is naar allemaal legal afdelingen. We hebben hier iemand die z'n exploitsen niet te bekijken. Of nou, dat moet ik niet anders zeggen, alles weer voor deze te bekijken. Nou, sterker nog...

Ik was ergens in december, begin december... Toen kreeg ik een mailtje van we willen eigenlijk even een call met je. Want we hebben toch wel wat vragen. Toen dacht ik al van, oh jee, wat gaat hier nou gebeuren? Ik zat daar in een call met meerdere mensen van het Microsoft Security Response Center.

Een paar technoten er ook bij. En ze begonnen gelijk... De eerste vraag was, heb je onze rules of engagement wel gelezen? Haha, daar komt hij. Dus ik begon wel een beetje te zweten.

Ik heb hem weleens bekeken. Ja, want toen noemden ze vrij specifiek wat dingen. Dit en dit en dit. Staat wel in die rules of engagement dat eigenlijk niet de bedoeling is. En zei, oh, nou ja.

En als je dan data van ons tegenkomt, en wat doe je dan? Als ik ze uitleg, dan stop ik. Dan stuur ik meteen het report in. Laat het zo snel mogelijk weten. Ik verwijder al die data ook weer.

Ja, je moet wel weten, zeiden ze toen. Elke keer als je confidentiële data van ons stuit, dat gebeurde dus al een aantal keer. Elke keer moeten we een instant-response-team inschakelen. Om te kijken of er al eerder misbruik van is gemaakt. We moeten een legal-team inschakelen om alle contracten te bekijken waar we een contract breach hebben.

En per case kost dat gewoon meer dan een miljoen. Hallo. Dus toen dacht ik, oh jee, daar komt de lawsuit hoor. Nu hebben ze me. Maar toen zeiden ze, want ja, we willen eigenlijk even zeker weten of je wel een beetje aan die rules of engagement gaat.

Want we willen je wel echt bedanken. Ja, hoe? Ja, het klinkt misschien een beetje gek, maar we kunnen het nu nog niet zeggen. Maar over twee weken wordt alles duidelijk. En toen was die call afgelopen.

Toen dacht ik, hey, wat is hier aan de hand? Ze willen me bedanken, maar tegelijkertijd hoor ik vooral juridische vragen. Wat is hier nou aan de hand? Wat gebeurde er in die twee weken? Want ik kan me voorstellen dat je toch aan de ene kant denkt van, oh ze gaan me bedanken.

En aan de andere kant gaan ze toch stiekem die juridische brief sturen? Of wat gaat er gebeuren? Nou, het gaat door je hoofd heen, zeker. Maar ik had wel, de hele interactie leidend naar dat moment toe, had niet de vibe van, ze willen me dat ik nu stop. Of ze willen dat ze gaan iets, ze gaan juridisch gaan ze een stap op zetten.

Maar het was gewoon een beetje vaag. Toen, twee weken later was Blackhead Europe en toen werd aangekondigd dat ze hun Bug Bounty programma gingen wijzigen. En dat ze nu, wat ze dan noemden, in scope by default gingen hanteren. Wat betekent dat alles wat je meldt, wat impact heeft op Microsoft, dat het eigenlijk per definitie wel in scope van een Bug Bounty programma was. Ik geloof dat ik opeens beter begrijp waarom jij naar een ander huis aan het kijken bent ondertussen.

En niet alleen vanaf dat moment, maar met een 90 dagen terugkijken periode. Dus toen bleek inderdaad dat al het werk dat ik dat kwartaal had gedaan opeens wel binnen scope viel van hun programma. Dat was een leuke meevaller, dat zeker. Dat is toch heel vet, dat ben jij een van de weinige hackers die misschien die keer legaal gewoon zijn huis verdiend heeft door te hacken. Er zijn er al lichten die het illegaal hebben gedaan, maar jij kan er gewoon trots op zijn.

Het was zeker geen heel huis, maar het was wel een leuke extraatje. Supermooi man. Ik vind het wel interessant, in dit soort lijstjes staan natuurlijk altijd, ik denk heel veel mensen uit Aziatische landen, want die zijn keihard bezig om geld te verdienen. Dat had bij jou niet de motivatie geweest, je had gewoon de drijfveer. Toch vind ik wel dat Nederland internationaal dat wel een beetje uitspringt, als je gewoon kijkt wat we in Nederland hebben rondlopen, ik kom het in het buitenland niet zoveel tegen.

Bijvoorbeeld al zo'n ding als een DVD, iSecurity zitten natuurlijk goede mensen, Foxxiety, Hunt & Hackett nu, Watchmen. Hoe denk jij dat internationaal naar de positie van Nederland gekeken wordt? Het is al wel een aantal jaar op verschillende manieren bekend dat Nederland best wel hoog staat qua niveau als het om cyber expertise gaat. Ik geloof dat in 2020 en in 2022 het Delver Center ook onderzoek gedaan heeft. Die hebben gepubliceerd dat Nederland echt in het top 5 staat van cyberpowers wereldwijd.

Puur op expertise en ook de manier waarop het wordt ingezet, zowel offensief als defensief. Ik denk dat er echt heel veel hele goede mensen rondlopen in Nederland, zowel bij de overheid als bij private bedrijven. Je ziet het ook terug dat Nederlandse bedrijven ook in de rest van Europa echt wel hoog aanzien hebben in Nederlandse securitybedrijven. Als we instant response doen in het buitenland bijvoorbeeld, dan is het best vaak dat er al een lokale instant response partij ergens ingeschakeld. En dat klanten echt verbluffd zijn door het verschil in die hulp dat er dan opeens binnenkomt.

Jij zal dat ook hebben gemerkt. Ja, zeker. Je kan het er een keer over doen. Maar in het begin willen ze vaak altijd een grote namen hebben. Dus echt hele grote jongens.

En uiteindelijk, als het dan vastloopt, dan mogen de boetjes langskomen. Die blijken toch beter te doen. Hey Faischa, we gaan afronden. Bedankt voor het langskomen en voor het delen van je bevindingen. Ik vind het echt ook heel gaaf om te zien dat Nederland op de kaart staat in de internationale security research community.

Dus ook dankt ervoor dat je dat gedaan hebt. Zorg ervoor dat we in 2026 ook weer hoog in de lijstjes blijven staan. Elke week kan je naar een nieuwe aflevering van Cyberhalden luisteren. Onze gesprekken met de Cyberhalden kun je terug luisteren via Spotify of elke andere favoriete podcast app die je hebt. Veel dank voor het luisteren en graag tot de volgende keer.

Tot de volgende keer. Dank u wel Faischa.