De Koninklijke Nederlandse Golf Federatie (NGF) behartigt de belangen van golfclubs en golfers met als doel het golfspel in Nederland te bevorderen. Daarvoor zijn onder meer GOLF.NL, golfraak.nl, joostluiten.com en de app GOLF.NL ontwikkeld. Om zeker te weten dat de persoonsinformatie van golfers binnen deze platformen veilig is, liet de NGF een vulnerability assessment uitvoeren door Computest.
De app van GOLF.nl heeft ruim 170.000 gebruikers. We wilden graag zeker weten of er kwetsbaarheden waren waardoor de privacy van deze persoonsgegevens in het geding zou kunnen komen.
Erik Vrieling, projectmanager en product owner bij NGF
Erik Vrieling is projectmanager en product owner in een agile team dat de online platformen van de NGF ontwikkelde. In 2016 werd hier de app GOLF.NL aan toegevoegd. Vrieling: “Van de drie platformen is GOLF.NL met 190.000 maandelijkse bezoekers de grootste, die zowel wordt bezocht door spelers als door mensen die in golf geïnteresseerd zijn. De site en de app bieden spelers de mogelijkheid om scorekaarten in te dienen voor het updaten van de zogenaamde handicap. Verder willen we met de app golfers enthousiasmeren vaker te spelen en hun spel te verbeteren. De app is daarom tevens een community: golfers kunnen vrienden worden, op elkaars timeline zien wie waar aan het golfen is - de app ondersteunt baanherkenning via GPS - en rankings bekijken. Inmiddels heeft de app ruim 170.000 gebruikers, waarvan zo’n 55 tot 60 procent ook scorekaarten indient.”
Privacy persoonsgegevens
De NGF introduceerde de app in 2016. Minimaal jaarlijks wordt een grote update uitgebracht. “Tot op heden hadden we de app en onze platformen nog niet getest op security en accessibility. Er was ook geen directe aanleiding, maar we wilden graag zeker weten of er kwetsbaarheden waren waardoor de privacy van persoonsgegevens in het geding zou kunnen komen,” vertelt Vrieling. “Daarom besloten we een vulnerability assessment uit te laten voeren. We zijn daarvoor op zoek gegaan naar een onafhankelijke partij. De ontwikkelaars van We are you, de partij die onze platformen en apps heeft ontwikkeld, adviseerden Computest. Zij hadden in een eerder project goede ervaringen met hen opgedaan.”
Vrieling vroeg de specialisten van Computest om de toegang tot het platform en de mogelijke inbreuk daarop te testen. Tijdens een vulnerability assessment gaan testers op zoek naar zo veel mogelijk kwetsbaarheden in het IT-systeem die een kwaadwillende zou kunnen gebruiken voor een (gerichte) aanval. Daarbij speelt de creativiteit van de tester een belangrijke rol; hackers werken tenslotte ook niet volgens een vast stramien. Daarnaast maken de security testers van Computest tijdens een vulnerability assessment gebruik van checklists van typen kwetsbaarheden die vervolgens handmatig worden nagegaan, ondersteund door tools. Dankzij deze werkwijze krijgt de klant een compleet en realistisch beeld van de al dan niet aanwezige kwetsbaarheden.
Kritieke kwetsbaarheid
Al voor het uitvoeren van de assessment ontdekte Computest een kritieke kwetsbaarheid. Deze werd snel gecommuniceerd en vervolgens nog dezelfde dag opgelost.
Erik Vrieling, projectmanager en product owner bij NGF
“Al voor het uitvoeren van de assessment ontdekte Computest een kritieke kwetsbaarheid. Deze werd snel gecommuniceerd en vervolgens door We are you nog dezelfde dag opgelost. Het was daarbij fijn te zien dat twee leveranciers samen zo snel konden schakelen,” zegt Vrieling. De volledige vulnerability assessment werd op locatie bij NGF uitgevoerd.
“De testers van Computest zijn een aantal dagen bij ons in huis geweest. Je merkt echt dat je met professionele specialisten werkt,” vindt Vrieling. “Ook de communicatie over de resultaten is erg duidelijk. De bevindingen uit de vulnerability assessment verwerkt Computest in een helder, uitgebreid rapport waarin mogelijke zwakke plekken duidelijk worden uitgelegd, voorzien van prioritering. Dit maakte het voor ons makkelijk om een actieplan op te stellen en de verbeteringen door te voeren.”
Periodiek testen
“Onze platformen zijn nu grondig getest op mogelijke kwetsbaarheden die persoonsgegevens in gevaar brengen. Omdat de testen hun nut hebben bewezen hebben we besloten om periodiek te gaan testen, afhankelijk van nieuwe ontwikkelingen in onze app of platformen. Hiervoor gaan we ook zeker weer in zee met Computest”, besluit Vrieling.
Koninklijke Nederlandse Golf Federatie is geholpen. Waar kunnen we jou mee van dienst zijn?
Wil jij net als de NFG een vulnerability assessment laten uitvoeren, je medewerkers trainen in security awareness of heb je een ander security vraagstuk? Neem contact op met ons en wij reageren binnen één werkdag op je verzoek. Mail via info@computest.nl of vul het contactformulier in!