De richtlijnen die minister Opstelten heeft opgesteld voor ethische hackers, de zogeheten Leidraad Responsible Disclosure, zijn vrijwel identiek aan het beleid dat Marktplaats al een jaar hanteert. In het afgelopen jaar is het Nationaal Cyber Security Centrum diverse malen bij de dochter van eBay langsgeweest om te leren van de ervaringen van de online veiling- en verkoopsite.

In het afgelopen jaar heeft Marktplaats “vier of vijf" serieuze medlingen gehad van ethische hackers, zegt Robin Schuil, innovatiemanager bij Marktplaats tegen Webwereld. “De eerste melding ging erover dat bepaalde log-ins geen https gebruikten. De jongen die dat meldde loopt nu stage bij ons." Volgens Schuil is er in geen van de gevallen aangifte gedaan. Wel van enkele DDoS-aanvallen die vanuit het buitenland werden georchestreerd.

De samenwerking met Justitie en het NCSC dateert al van langer dan een jaar, zegt Schuil. “In de bestrijding van fraude en phishing, en dat laatste gebeurt steeds vaker, trekken we al langer samen op, Toen we in februari van het vorige jaar ons Responsible Disclosure-beleid op onze site publiceerden, met een beloningsstructuur, heeft het NCSC ons weer benaderd en zijn ze langs geweest om te praten over onze ervaringen", zegt Schuil.

Geen exploits, geen data van anderen

Het gepubliceerde beleid van Marktplaats staat bol van de uitzonderingen. Zo mag een ethische hacker geen exploits gebruiken, de data van andere klanten compromitteren, inzien of gebruiken, worden portscans niet geapprecieerd en is Marktplaats niet van plan het ontdekken van beveiligingsgaten in de software van derden te belonen.

Die laatste eis wordt overigens soepel gehanteerd. “We hebben een ontdekker van een WordPress-bug ook beloond met een premie en eerlijk gezegd zijn alle bugs die tot nu toe in software zijn ontdekt, in de software van derden geweest. De helft van alle meldingen van ethische hackers betrof eigenlijk een lek dat volgens onze Responsible Disclosurebeleid niet zou leiden tot een beloning. Maar die hebben we toch uitgekeerd", zegt Schuil.

Gelukzoekers afschrikken

De reden dat in aanvang de eisen streng zijn opgesteld, is om van tevoren al te veel gelukzoekers af te schrikken. “Het moet echt wat toevoegen en dan maken we liever later een uitzondering op de regels dan dat we mensen die denken recht te hebben op een beloning teleur moeten stellen." Maar sommige acties blijven taboe. “Alles wat je denkt aan te kunnen tonen in een proof-of-concept moet gedaan zijn met eigen data, je eigen gegevens dus. Dat moet voldoende zijn. Het is niet nodig met je vingers aan andermans data te komen om een lek te bewijzen."

Social Engineering wordt eveneens niet aangemoedigd. “We willen het houden op het technische vlak", zegt Schuil stellig. “We krijgen vanuit eBay veel trainingen over hoe om te gaan met social engineering dus we hebben er wel aandacht voor. Maar we willen niet dat iedereen zich maar geroepen voelt om het te testen."

Robin Schuil gaat deze dinsdag op het jaarcongres van het NCSC in debat met beveiligingsdeskundige Floor Terra, Wil van Gemert van het NCTV en Bas de Vogel van Hoffmann Investigations in debat over Responsible Discosure.

Update 16.12: Het ministerie van Veiligheid en Justitie meldt naast Marktplaats ook Rabobank en KPN te hebben gesproken over de Leidraad Responsible Disclosure, naast enkele hackers.