Wist je dat de Uber app gehackt is? Ontdek hoe jij dat voorkomt

Wordt net als Uber ook jouw app gehackt? Er is een grote kans dat je hier niet van gehoord hebt want over app hacks wordt nog té weinig gesproken. Het wordt zelfs bewust verzwegen!

We hebben daarom Tanya Syrovatka geïnterviewd, de mobile security expert en Country manager 5Pro Software Nederland. Ik kwam er door haar achter dat vrijwel iedere app slecht beveiligd is en makkelijk te hacken is!

Wil je niet dat jouw app gehackt wordt? Lees dan dit interview of bekijk de samenvatting in de video:

app gehacktTanya, hoezo is de Uber app gehackt?

Over het algemeen komen mobiele inbraken weinig in het nieuws. De Uber app is al in 2016 gehackt maar het is door Uber zelf een jaar lang in de doofpot gestopt. Ze hebben verzwegen dat een hacker gegevens van maar liefst 57 miljoen Uber gebruikers had gestolen! En daar zaten ook van 7 miljoen chauffeurs hun nummerborden bij. Dit bleek een goede deal voor de hacker want hij heeft $100.000 gekregen om de gegevens te verwijderen en de hack stil te houden. Normaal moet zo’n gebeurtenis gerapporteerd worden bij de overheid maar dat is niet gedaan. Vanuit Uber was dit geen slimme zet. In plaats van open te communiceren en te vertellen dat er aan een oplossing wordt gewerkt, hebben ze de hacker betaald via het zogenaamde “bug bounty” programma om de gestolen gegevens te verwijderen.

Het slimste was natuurlijk geweest om van tevoren al een goede security expert te laten kijken naar beveiliging en de lek meteen te melden. Klanten komen nu vaak naar ons toe als het al te laat is. En dat kost veel geld en reputatie, net als bij Uber.

app gehacktIs er een verschil tussen het hacken van apps van grote en kleine bedrijven?

Dat is nu juist precies de denkfout. Kleine en middelgrote bedrijven denken dat ze te klein zijn voor hackers om er energie in te steken. Het resultaat daarvan is dat apps van kleinere bedrijven dus vaak slecht of niet beveiligd zijn. Dat is geen geheim en daarom juist bij hackers bekend. Door de slechte beveiliging is het vaak makkelijker een app van een klein bedrijf te hacken.

Het probleem bij grote bedrijven is dat ze teveel vertrouwen hebben in hun app-beveiliging. Dat is helaas vaak onterecht. Ten eerste hebben de meeste bedrijven (waaronder software-ontwikkeling bedrijven) binnen hun bedrijf geen security experts. Ten tweede wordt de beveiliging van eigen software vaak door het management overschat. Een voorbeeld daarvan is Deloitte, een consultancy bedrijf. Zij beweren zelf een team van cybersecurity experts te hebben maar zijn zelf gehackt! Daar kwamen ze ook pas maanden later achter... Dit is duidelijk bewijs dat ook grote bedrijven hun eigen zaken niet op orde hebben. Daar wil ik ze bewust van maken. De basischeck kan helpen door op een laagdrempelige manier achter de kwetsbaarheden van de app te komen.

"Zwarte hackers zijn illegaal en doen het voor geld of blackmailing."

app gehacktHoe test je dan of jouw bedrijf of app veilig is?

Je huurt dan een team van Pentesters in. ‘Pen’ staat voor penetratie van de beveiliging. Dit is een groep van zogenaamde ‘witte’ hackers. Witte hackers hacken apps met toestemming van de opdrachtgevers. ‘Zwarte’ hackers zijn illegaal en doen het voor geld of blackmailing. De witte hackers passen de technieken van zwarte hackers toe om kwetsbaarheden te ontdekken. Met een basischeck kijken ze naar de grote gebreken in de app vanuit een hackersperspectief. Daarna volgt een diepere pentesting. Onze pentesters proberen dan te hacken op allerlei niveaus, bijvoorbeeld via de server of API. We maken dan een uitgebreid rapport en leggen uit hoe de kwetsbaarheden gerepareerd moeten worden. Daarnaast doen we bij veel klanten regelmatig een nieuwe check als er een nieuwe functie is toegevoegd of de app is geüpdate.

app gehacktHeb je een praktijkvoorbeeld?

Voor security projecten werken we altijd onder de geheimhoudingsverklaring en we gaan altijd vertrouwelijk om met de reputatie van onze klanten. Zo’n opdrachtgever wil natuurlijk niet in het nieuws komen.

Een tijd terug hebben we voor een Europese autofabrikant een app voor de auto getest. Met deze app kun je je auto van afstand bedienen (bijvoorbeeld een verwarming aanzetten of diagnostische informatie uitlezen). We checken dan of de app goed beveiligd is. Dat was niet het geval. Door deze test te doen, het probleem te melden en verhelpen is dit tijdig opgelost zodat de eindgebruikers er geen last van hebben.

We werken met allerlei klanten. Van MKB-bedrijven die beseffen dat ze vertrouwelijke informatie van hun klanten willen beschermen tot grote corporaties als overheden of in de zorg. De hele zorgsector digitaliseert en nieuwe apps worden op rap tempo gemaakt door ontwikkelaars die nog weinig weten over security. Wij hebben zulke apps getest en konden er zo gevoelige patiëntgegevens uit halen. Dit is dus een groot probleem, dat wij door een Pentest zichtbaar maken en oplossen.

Helaas komt dit vaak voor: ongeveer 90% van de in 2016 geteste applicaties faalde voor standaard securityproeven, zoals de OWASP Mobile Top 10 Checklist.

Er zijn verschillende redenen waarom een app gehackt wordt: geld verdienen, bedrijfsspionage, sabotage of reputatieschade. Als een app gehackt wordt, stelen de hackers de persoonsgegevens en dreigen de informatie te gebruiken. Vaak volgt er daarom blackmailing nadat een app gehackt is.

"In de toekomst zie ik problemen met het fenomeen ‘Internet of things’. "

app gehacktWaarom horen we er zo weinig over als een app gehackt is?

Als je kijkt naar het aantal gevallen dat een app gehackt is, of een bedrijf, dan is dat verschrikkelijk hoog. Maar het blijft een pijnlijk onderwerp dus wordt er niet over gesproken. 

 

app gehacktHoe zie je de toekomst voor beveiliging van apps in?

In de toekomst zie ik problemen met het fenomeen ‘Internet of things’. Veel artikelen worden in China gemaakt en daar is de beveiliging vaak nog slechter. Daarnaast zie ik problemen voor kleine en middelgrote bedrijven omdat ze geen budget vrijmaken voor beveiliging. Achteraf hebben ze vaak spijt. Zeker als het hun veel geld, tijd en reputatie kost! Hackers worden steeds geavanceerder terwijl bedrijven er minder aandacht aan geven. Dat moet echt veranderen. Een kans kan zijn als meerdere bedrijven samen een geldpotje maken voor beveiliging. Ik hoop dat het gaat veranderen!

app gehackt

app gehacktHeb je een tip voor mensen met een app-idee?

Een tip die ik wil geven aan mensen met een app of app-idee is: vraag naar een security expert! Als je naar de app bouwer gaat vraag er dan echt specifiek naar. De meesten hebben deze niet in huis. Als je er zelf niet om vraagt, wordt het onderwerp niet besproken. Breng het dus ter sprake! Hebben ze hem zelf binnen hun bedrijf? Mooi. Zo niet, zorg dat er een ingeschakeld wordt en je geen risico loopt.

Sinds 2018 staat er ook een boete op als je app gehackt wordt. Je moet duizenden euros, of voor grote bedrijven tot 4% van je jaarlijkse omzet betalen als je app gehackt wordt of gegevens in de verkeerde handen vallen (zie ook artikel over nieuwe GDPR wetgeving). Voorkom dus extra kosten door van tevoren al te zorgen voor een sterke beveiliging!

app gehacktApp-idee bescherming

Dankzij dit artikel weet je nu wat je moet doen als je je app wilt beschermen tegen hackers. Maar ben je ook benieuwd of je jouw app-idee kan beschermen? En hoe je dat doet?

Dan kan je hieronder het 'Drieluik van app-bescherming' downloaden. Vul je emailadres in en ontvang hem meteen in je mailbox!

-David van AppSpecialisten

doel van jouw app
fase van jouw app
markten
geschreven door
David van der Loo