2min Security

DIVD mag CVE-nummers registreren

DIVD mag CVE-nummers registreren

De groep van ethische-hackers DIVD (Dutch Institute for Vulnerability Disclosure) mag voortaan zelf CVE-nummers uitgeven.

CVE-nummers zijn Common Vulnerabilities and Exposures-nummers waarmee je kwetsbaarheden officieel kunt registreren. De groep, waar rond de zeventig ethische hackers in hun vrije tijd zoeken naar kwetsbaarheden in allerlei digitale systemen, wordt daarvoor lid van de CVE Numbering Authority (CNA).

Als je zelf CVE-nummers kunt uitgeven als je een kwetsbaarheid hebt gevonden zorgt dat je bij actuele en grote lekken veel sneller aan de bel kunt trekken. Als DIVD, net als vorig jaar bij het grote lek van Kaseya, een belangrijke kwetsbaarheid vindt, kunnen ze door het lidmaatschap van de CVE dit sneller via het CNA aan iedereen doorgeven.

Destijds was DIVD net niet op tijd met doorgeven en proberen te verhelpen van het lek. Door het lidmaatschap van de CVE hopen ze daarin nu sneller te kunnen handelen.

Door dit lidmaatschap komt de groep ethische hackers ook met een nieuw  ‘bounty-programma’ om de ethische hackers nog beter te kunnen ondersteunen. Eind 2021 kreeg DIVD ook al een subsidie van het Digital Trust Center, dat onder het ministerie van Economische Zaken valt.

Kaseya

DIVD begon in 2019 op initiatief van cybersecurity-expert en oud-Kamerlid Astrid Oosenbrug, ethisch hacker Victor Gevers en internetsocioloog Chris van ‘t Hof. Ethische hackers en security-experts als Wietse Boonstra, Mattijs van Ommeren, Edwin van Andel en Matthijs Koot sloten zich al snel aan.

Wietse was degene die vorig jaar zomer het lek in Kaseya VSA op het spoor kwam. Wereldwijd kwamen toen honderden bedrijven onder vuur te liggen. Zij werden slachtoffer van REvil-ransomware.

Lees ook: