Cybersecurity-studenten testen de online veiligheid van MyWheels

Geschreven door TAPECC Haarlem

MyWheels is een autodeelbedrijf dat al 25 jaar bestaat, maar in de afgelopen jaren een gigantische groei doormaakte. “In een jaar tijd is het aantal beschikbare deelauto’s gegroeid van 300 naar 1.000. Daarbij is het hele proces rondom het huren van onze auto’s in de afgelopen jaren volledig gedigitaliseerd,” vertelt Manager Operations Aron Vaas. Het belang van dit gemak voor klanten, maakt de beveiliging dan ook een topprioriteit. Vijf studenten van de cybersecurity-opleiding van de Hogeschool van Amsterdam testten de beveiliging van het bedrijf daarom op alle fronten.

jump.38201c41.jpg

MyWheels wil met autodelen het aantal auto's in Nederland terugdringen van negen miljoen naar één miljoen in 2030. Klanten kunnen met een online account en een app op hun smartphone een auto huren en openen. Vaas: “Wij zijn zowel met betrekking tot de beveiliging van persoonsgegevens als de beveiliging van de auto’s continu bezig met het verbeteren en updaten van onze security. Daarnaast is het steeds verder verbeteren van het gebruikersgemak voor klanten essentieel.”

leaf_30kwh.png

Team Stropdas

Vijf studenten van de HvA deden via MKB Digital Workspace voor MyWheels een penetratietest. Zo’n onderzoek heeft als doel om via het internet en fysiek kwetsbaarheden te ontdekken die hackers of andere kwaadwillenden kunnen gebruiken om toegang te krijgen tot persoonsgegevens of andere vertrouwelijke informatie. Met een zeer gerichte aanpak ging Team Stropdas - bestaande uit Jessie Gouw, Cees Jan Blaak, Yigit Borucu, Mik Konigsmann en Julian van Rekum - aan de slag.

Hiervoor hebben zij de Penetration Testing Execution Standard (PTES) gevolgd. “In de voorbereidende fase hebben wij met verschillende stakeholders gesproken, de financiële statistieken en website doorgenomen. Met Aron Vaas hebben wij een lijst punten besproken om de scope te bepalen. En eigenlijk was die heel breed: wij mochten alles testen. Dat komt niet vaak voor. We hebben daardoor juist ook op menselijk en sociaal niveau kunnen testen. Het was echt een snoepwinkel doordat we alles op mochten pakken,” vertellen de studenten.  

Signaal versterken

c3.png

“Laat maar zien wat jullie kunnen”, was de reactie van Vaas. En dat hebben ze serieus genomen. “Deze groep studenten heeft het onderzoek zeer breed opgepakt. En ze zijn bovendien heel origineel geweest in hun aanpak. Ze hebben echt zo veel mogelijk dingen uitgeprobeerd: van mails naar medewerkers tot fysieke acties. Zij zijn zelfs naar een van de deelauto’s gegaan om te proberen deze te ontgrendelen zonder dat hier goede authenticatie voor is door het signaal te versterken. Wij hebben ook wel eens een penetratietest door professionals laten doen, maar die waren daar een week mee bezig. Dit team is vier maanden bezig geweest en veel dieper gaan graven. Daardoor is op veel meer fronten onze weerbaarheid getest”, vertelt hij.

Wat het team zelf het leukste gedeelte vond? “Met zekerheid de Phishing-acties. Dat was een nieuwe ervaring, daar krijg je echt adrenaline van. Om gerichte acties te verzinnen hebben wij onder andere inspiratie opgedaan rondom het kantoorpand van MyWheels. Vervolgens hebben wij phishing mails verstuurd vanuit een derde partij, die fysiek heel dichtbij zat en dus bekend was bijvoorbeeld”, vertellen zij.

nature.f9de0005.jpg

Oplossing

Het goede nieuws voor MyWheels na vier maanden van testen? De basis is goed. Het studententeam heeft geen kwetsbaarheden kunnen vinden die leiden tot directe toegang tot persoonsgegevens of intellectuele eigendommen. Wel heeft het op basis van de verschillende tests een aantal aanbevelingen gedaan zoals bijvoorbeeld een voorstel voor intern beleid, waar MyWheels direct mee aan de slag is gegaan. “Ook hebben wij een Awareness-poster gemaakt om de medewerkers van MyWheels te wijzen op de gevaren van phishing en daarbij een aantal handvatten te geven om hun accounts beter te beveiligen”, vertellen de studenten.

zoe.png

Vaas ziet alleen maar winst in het testproces van de afgelopen maanden: “Ons hele team is zich er nu nog beter bewust van dat je als persoon kwetsbaar bent. Voor mijzelf heeft het me doen realiseren dat ik security veel meer als integraal onderdeel mee moet nemen in intern overleg, zodat iedereen ook steeds up-to-date blijft. En een penetratietest blijven we regelmatig laten uitvoeren.”

Over MKD Digital Workspace

MKB Digital Workspace is een initiatief van ACE Incubator, Rabobank, Gemeente Amsterdam, Ministerie van Economische Zaken en Klimaat en provincie Noord-Holland. De komende drie jaar wil MKB Digital Workspace tenminste 750 ondernemers helpen met het digitaliseren van hun onderneming en slimmer omgaan met data. MKB Digital Workspace zal ongeveer 2.000 studenten koppelen met ondernemers in deze periode. Meer informatie over het initiatief of over deelname is te vinden via de mkbdigitalworkspace.nl.

TAPECC Haarlem

Branded content and identity design agency

https://www.tape.cc
Vorige

Digital Marketing studenten adviseren VondelGym over conversieoptimalisatie
Volgende

Interne communicatie bij een snelgroeiend bedrijf