Ik was op zoek naar informatie over mijn opa. Niet met een zoekbalk en een kop koffie, maar met een team van AI-agents dat ik had samengesteld om mijn eigen blinde vlekken te compenseren — de Magische Dertien. Ik krijg met al mijn vondsten steeds vaker de roep om bewijs dus moet harder fact-checken dan ooit. Op een gegeven moment liepen ze vast. Ik vroeg of ze een andere manier konden verzinnen om de informatie te vinden die ik zocht. Dat konden ze. In no time zaten ze op plekken waar resultaten vandaan kwamen die niet toegankelijk hadden moeten zijn.

Het deed me denken aan Anne Jan Roeleveld, de programmeur die ooit onze Easycratie-app maakte voor de eerste iPad, en op kerstavond 2012 de kersttoespraak van koningin Beatrix vond door een getal in de URL te verhogen. Hij was er niet gericht naar op zoek — hij zat rond te klikken op de site van het Koninklijk Huis en dacht na over hoe de URL's in elkaar zaten. Hij gebruikte geen tools, en had geen hackkennis.

Ik las het boek Kraken en Computers over de jonge Rop Gonggrijp en professor Herschberg met rode oren, terwijl ik klooide met mijn Commodore 64. Ze hadden ingebroken op de 008-computer van de PTT (dat database met alle geheime telefoonnummers) en de toegangscode bleek 008. Er is sindsdien niet veel veranderd qua beveiligingsbewustzijn 🤣. Niet veel later zag ik de film Wargames op VHS. Verder dan dat had ik in de twintig jaar daarna niet te maken met het fenomeen hacken.

Ik begreep het altijd maar half. Niet omdat het me niet interesseerde, maar omdat ik de vaardigheden niet had. Ik ken best veel mensen die deze wereld van binnenuit kennen: Edwin van Andel van Zerocopter stond ooit op het podium bij de Maand van de Digitale Fitheid en hield een verhaal dat me bijbleef — je moet lief zijn voor hackers. Brenno de Winter schreef Fundamenten van informatiebeveiliging en ik heb regelmatig contact met hem. Bij de politie sprak ik herhaaldelijk voor het Team High Tech Crime.

Ik stond aan de zijlijn van dit alles. Technisch niet onderlegd, maar ik lees veel over informatie, over hoe systemen werken, over wat er misgaat als organisaties hun data niet op orde hebben. Tot de Pilot Informatieautonomie me dwong om dit serieuzer te nemen dan ooit.

En toen vond ik die informatie over mijn opa.

Pas toen ik die informatie in handen had, drong het tot me door wat er gebeurd was. Ik wist niet dat er zoiets bestond als een ongedocumenteerde API. Databases praten met elkaar via digitale verbindingen die niet voor het publiek bedoeld zijn, maar ook niet afgesloten. Ze staan er gewoon, onzichtbaar voor wie niet weet waar hij moet kijken. Mijn agents wisten dat blijkbaar wel.

Dit is geen hacken. Dit is een deur die openstaat omdat niemand eraan heeft gedacht hem te sluiten. En ik kwam binnen zonder kloppen omdat ik geen deur of een bordje zag.

Ik vroeg me af hoe breed dit was. In één geval ging het om informatie waarover een toezichthouder expliciet had besloten dat die offline moest. De voorkant van de website was netjes aangepast, maar de technische laag eronder helemaal niet.

Ik deed echt niets bijzonders. Ik gebruikte geen aparte tools of exploits (en ik heb geen kennis over hoe dat werkt) en ontbeer technische kennis. Ik stelde een vraag via AI, maar niet aan een chatbot zoals de meeste mensen maar aan een team AI-agents dat ik geleerd had om goed te redeneren.

Ik deed om het te snappen een steekproef onder zes instanties waarmee ik van doen heb. Met websites waarvan je weet dat er informatie staat die je liever niet op straat hebt. Inmiddels wist ik wat ik deed — bij de steekproef had ik mijn agents expliciet gevraagd de Wet Computercriminaliteit in acht te nemen. Ik wilde weten wat er toegankelijk was, en was niet uit op de informatie zelf. Op een paar uitzonderingen na was wat ik aantrof ontluisterend. Persoonsgegevens van medewerkers, bankrekeningnummers met saldi en salarissen. Geen informatie waar je bij hoort te kunnen.

Gelukkig wist ik via mijn werk voor de Pilot Informatieautonomie de juiste persoon bij de politie nog laat op de avond te bereiken. En via een bevriend contact kreeg ik het telefoonnummer van de directeur van de betreffende instelling. Die heb ik gebeld. Niet omdat ik dacht dat ik iets strafbaars had gedaan — ik had niets geforceerd, niets gedaan wat technisch verschilt van wat een browser doet — maar ik had informatie die ik niet had mogen hebben en vond dat dat ergens geregistreerd moest worden.

Wat ik deed heeft een naam: responsible disclosure. Ik kende het begrip al, van gesprekken met Edwin en Brenno door de jaren heen. De organisatie de kans geven om het te repareren voordat je er mee naar buiten gaat. Ik had het altijd een beetje als iets van hen beschouwd, niet van mij. En toen moest ik het ineens zelf doen.

Er is geen wettelijke verplichting tot responsible disclosure en er is ook geen bescherming voor mensen die het doen. Wie een lek vindt en meldt is in principe nog steeds degene die er was op de plek waar hij niet hoorde te zijn, ook al deed hij het te goeder trouw. Grote technologiebedrijven hebben inmiddels formeel beleid, soms met bug bounties. Overheidsinstanties op rijksniveau kunnen terecht bij het NCSC. Maar voor de gemiddelde school, huisarts, het gemiddelde archief, en de gemiddelde vereniging bestaat er niets. Er is geen loket, geen procedure en geen enkele vorm van bescherming.

Niet iedereen die zo'n vondst doet weet wat te doen. En de organisaties die het betreft weten al helemaal niet wat ze kunnen verwachten als iemand belt.

Wat ik deed vereiste tot een paar maanden geleden specialistische kennis, technische ervaring, en een leercurve van maanden. Nu is het een vraag aan een AI-team. De drempel is niet verlaagd — hij is volkomen weggevallen. Directies die denken dat hun systemen veilig zijn omdat niemand er ooit aan heeft gezeten, hebben een probleem dat groter is dan ze beseffen. En beleidsmakers die nog moeten beslissen hoe we omgaan met AI-agents en onbeschermde APIs: dit is jullie moment.

De organisaties hadden bewust keuzes gemaakt over wat ze openbaar wilden hebben en wat niet. Maar ze hadden die keuzes niet doorgevoerd in de technische laag eronder. Dat is geen opzet — het is onkunde. De schaduwkant van technologiekennis missen op directieniveau is niet onschuldig. Het kost onze maatschappij miljarden per jaar.

Als niemand die deuren sluit, is de vraag niet meer óf er iemand binnenloopt — maar wanneer. Wat ze dan aantreffen, weten we. Wat ze ermee kunnen, ook.