Visma’s bug bounty program
door Wouter van den Eerenbeemt, op 12 januari 2023
Visma heeft een bug bounty-programma in samenwerking met Intigriti, een van Europa's grootste bug bounty-platforms. Dit is een geweldige manier om de veiligheid van onze producten en diensten te testen, met de hulp van externe, hoogopgeleide ethische hackers uit de hele wereld. Zij zoeken naar kwetsbaarheden (zwakheden in de code die door cybercriminelen kunnen worden uitgebuit om ongeoorloofd toegang te krijgen) in de producten, rapporteren deze en krijgen betaald op basis van hun bevindingen. Als scope worden specifieke middelen gekozen, wat betekent dat zij kunnen aanvallen wat is afgesproken om te testen. Hierdoor worden de bugs gerepareerd voordat ze door cybercriminelen worden uitgebuit.
Visma programma bestaat uit twee niveaus, een openbaar programma waaraan duizenden ethische hackers op het platform kunnen deelnemen, en een besloten programma waarvoor ze ongeveer 400 personen uitnodigen die specifiek zijn geselecteerd op basis van hun lijst van verdiensten. Op deze manier krijgt Visma een extra beveiligingslaag waar duizenden vaardige hackers bij kunnen dragen aan het versterken van de beveiliging, door de code te controleren die door de meer dan 6000 ontwikkelaars is gemaakt, om zo criminelen te verslaan.
Live hacking event 2022
In november 2021 hield Visma samen met Intigriti een virtueel live hacking event (genaamd 1337UP1121) dat toen 251 geldige kwetsbaarheden opleverde, waaronder twee uitzonderlijke en twee kritieke, wat betekent dat ze behoorlijk ernstig waren en een zeer grote of kritieke impact op de applicatie hadden kunnen hebben als ze waren uitgebuit. Dat wordt beschouwd als een groot succes. Dit jaar wilde Visma, met covid op de terugtocht, het succes herhalen in de vorm van een fysiek evenement. Een evenement als dit geeft de mogelijkheid om meer geconcentreerde en uitgebreide beveiligingscontroles van producten uit te voeren met de hulp van enkele van de beste ethische hackers die er zijn, dit alles in een competitieve omgeving. Deze omgeving versnelt de jacht op bugs en maakt het proces leuker en motiverender.
"Een live hack event gaat over briljante geesten die samenkomen en ethisch zoeken naar veiligheidslekken, het gaat over teamwork, hard werken, nieuwe mensen ontmoeten en nieuwe vrienden maken terwijl we de veiligheid van onze assets verbeteren" - Ioana Piroska, Bug Bounty Program Manager
Het geselecteerde doelwit was deze keer Visma E-conomic, een boekhoudplatform dat financiële diensten levert aan wel 170.000 Deense bedrijven en daarmee een van de belangrijkste merken van de Visma-familie in Denemarken is. Het wordt ook beschouwd als een van de meer volwassen activa in termen van veiligheid, dus het doelwit was moeilijk en robuust.
Op 17 november 2022 verzamelden 30 van de beste hackers van Visma’s private bug bounty-programma zich in Kopenhagen na twee intense weken met weinig slaap voor de hackers, het beveiligingsteam van Visma e-conomic en voor enkele van de collega's in het beveiligingsteam van de groepen die alles coördineerden.
Om de productiesystemen niet te verstoren werd voor de Live Hack een productie-achtige omgeving gebouwd, en aan het einde van het veeleisende maar sociale evenement werden vele records voor Visma gebroken tijdens deze ervaring. En aan het eind won één persoon, slechts 20 jaar oud, de wedstrijd omdat hij het grootste aantal bugs had gevonden en ook de meest kritieke.
Van de zijde van Visma en E-conomic werkten onze beveiligingsingenieurs voortdurend hard en snel om elke gevonden bug op te lossen, waardoor de veiligheid van Visma E-conomic naar een nog hoger niveau werd getild.
Deze ervaring bewijst hoe waardevol een bug bounty-programma is en hoe groot de investering van deze live hacking events kan zijn voor bedrijven zoals Visma, waar de hele kern van de activiteit afhangt van een goede beveiliging.
Bronnen: