Hoe veilig is jouw website écht? Een AI-hacker is in 10 minuten binnen
Het staat er toch netjes bij? De gemiddelde ondernemer kijkt naar zijn website zoals naar zijn etalage: ziet er goed uit, dus het zit wel goed. Maar ‘ziet er netjes uit’ en ‘is veilig’ zijn twee totaal verschillende dingen. Een site kan er strak uitzien en tegelijk een voordeur hebben die al maanden op een kier staat, zonder dat iemand het merkt. Tot iemand het wél merkt.
Om te zien hoe groot dat gat in de praktijk is, nam ik onlangs de proef op de som. Ik liet autonome software die zich gedraagt als een ethische hacker los op een live website van een Nederlands mkb-bedrijf (uiteraard met expliciete toestemming). Wat volgt is een chronologisch en geanonimiseerd verslag van hoe deze software binnen tien minuten drie kritieke kwetsbaarheden blootlegde.
Zo denkt een AI-hacker
Een pentest (penetratietest) is traditioneel een gecontroleerde inbraakpoging: een menselijke specialist zoekt handmatig naar zwakke plekken vóór een kwaadwillende dat doet.
De anatomie van een hack van 10 minuten
Minuut 2
De inlogpagina verraadt wie er bestaat. Binnen honderdentwintig seconden stuitte de software op de inlogpagina van het CMS en begon met een techniek genaamd user-enumeratie. Door specifieke verzoeken naar de server te sturen, wist de software te achterhalen welke gebruikersnamen daadwerkelijk bestonden.
In de praktijk is dit een belangrijke eerste stap voor een aanvaller. Met een geldige inlognaam (zoals die van de hoofdredacteur of de admin) is het geheim immers al voor de helft bekend. Vanaf dat moment hoeft een kwaadwillende, of diens script, alleen nog maar het wachtwoord te raden.
Zo voorkom je het: zorg dat je websitebouwer auteurs- en gebruikersnamen verbergt in de broncode en dwing tweestapsverificatie (2FA) af op alle beheeraccounts.
Minuut 5
Een open deurtje naar klantdata. Wat mij in mijn dagelijkse praktijk het meest verbaast, is hoe vaak we logische fouten in API’s (koppelingen) tegenkomen. Dat was hier niet anders. In de blogpost ontdekte de AI in de vijfde minuut een vergeten koppeling die klantgegevens teruggaf zonder te controleren wie de vraag stelde.
In gewone taal: denk aan een webadres als jouwshop.nl/klant?id=1001. Door simpelweg het getal handmatig te veranderen naar 1002, trok de software de adresgegevens en bestelhistorie van een wildvreemde klant uit de database. Dit type fout (binnen de security-wereld bekend als IDOR) staat vaak maandenlang open, omdat de website voor het oog ‘gewoon goed werkt’. Totdat iemand met de juiste nieuwsgierigheid langskomt.
Zo voorkom je het: laat de ontwikkelaar controleren of elke gegevensaanvraag strikt toetst of de opgevraagde data wel hoort bij de gebruiker die daadwerkelijk is ingelogd (autorisatie).
Minuut 9
Vlak voor de timer op tien minuten sloeg, vond de software een plug-in die meerdere versies achterliep. Het probleem met verouderde software is verre van abstract: zodra een ontwikkelaar een update uitbrengt om een lek te dichten, wordt de documentatie van dat lek openbaar.
Kwaadwillenden schrijven daar vervolgens geautomatiseerde scripts voor. Je software niet bijwerken is in feite je voordeur openlaten met het slot eronder uitgetekend.
Zo voorkom je het: zet automatische updates aan voor het basissysteem (CMS), het thema en alle actieve plug-ins.
Wat deze drie bevindingen gemeen hebben? Het is geen Hollywood-hacking. Het zijn alledaagse, menselijke slordigheden die zich opstapelen. Juist daarom komen ze op zo’n schrikbarend grote schaal voor.
Dit kun je morgen zelf checken (gratis)
Je hoeft geen technisch specialist te zijn om de meest voorkomende gaten vandaag nog te dichten:
1. Updates
Controleer de update-historie. Een zeer groot deel van de succesvolle digitale inbraken is terug te voeren op software waarvoor allang een pleister (patch) beschikbaar was.
2. Inlogbeveiliging
Activeer tweestapsverificatie (2FA) op elk platform dat het ondersteunt. Dit minimaliseert de impact van een gelekt of geraden wachtwoord direct.
3. Security headers
Draai je eigen website eens gratis langs securityheaders.com. In één klik zie je via een overzichtelijke schoolcijfer-score (A tot en met F) of de basisbescherming van je server goed is ingesteld.
4. Een digitaal meldpunt
Heeft jouw organisatie al een security.txt bestand op de server staan? Dit is een wereldwijde standaard (een simpel tekstbestandje) waarin staat hoe welwillende vinders veilig een lek bij jou kunnen melden, vóórdat ze ermee naar buiten treden.
5. Open het gesprek
Vraag het simpelweg na. Is er het afgelopen jaar weleens een onafhankelijke security-controle op de website gedaan? Zo niet, dan is dat een heel redelijk startpunt voor een gesprek met je websitebouwer of IT-partij.
De eerste stap is geen tool
Veiligheid is geen eenmalig project, maar een doorlopende gewoonte. Net als de boekhouding of het onderhoud van het bedrijfspand. Het mooie is dat de drempel om te beginnen nog nooit zo laag is geweest; de technologie die ons beschermt wordt elke dag slimmer en toegankelijker.
Maar de allereerste stap kost geen cent: het is bewustzijn. Kijk eens kritisch naar je eigen digitale infrastructuur door de ogen van een digitale inbreker. De kans is groot dat je iets ziet dat je liever zelf had ontdekt.