Interview - Nederlandse securitykampioen viel voor de gamification van Microsofts bughunt

In dit artikel:

De Nederlandse securityonderzoeker Vaisha Bernard — chief hacker en medeoprichter van Eye Security — behaalde in januari de eerste plek op het Microsoft Security Response Center (MSRC) leaderboard voor het vierde kwartaal van 2025. Zijn score van 1.650 punten liet de nummer twee (730 punten) ver achter zich. De toppositie kwam voort uit een combinatie van toeval, vasthoudend scannen en de aantrekkingskracht van het competitieve beloningssysteem van Microsoft.

Twee jaar geleden stuitte Bernard tijdens het automatiseren van een taak op een ongedocumenteerde web‑api van Microsoft, waarna hij een race condition ontdekte: een synchronisatieprobleem waardoor hij soms toegang kreeg tot andermans data. Die vondst activeerde zijn nieuwsgierigheid en leidde tot een grootschalige scan van het Microsoft‑domeinlandschap. Hij verzamelde ongeveer 650.000 subdomeinen en filterde daarvan naar ruwweg 700 actieve portals die kwetsbaar bleken te zijn vanwege zwakke authenticatie in Microsofts toegangscontrolesysteem Entra — veroorzaakt door 24 verschillende misconfiguraties.

Hoewel niet elk subdomein gelijk staat aan een werkende portal, waren de gevolgen serieus: met sommige misconfiguraties kon Bernard niet alleen gevoelige informatie benaderen, maar ook beheerfuncties uitvoeren zoals Copilot‑beheer, een aangepaste Windows bouwen en zelfs het goedkeuren van bugbounty‑uitbetalingen. In één kwartaal rapporteerde hij 52 kritieke en belangrijke kwetsbaarheden, wat sterk bijdroeg aan zijn hoge puntenaantal.

Aanvankelijk kwamen veel van zijn ontdekkingen neer op intern gerichte portals die volgens Microsofts regels buiten de scope van bugbounty‑uitkeringen vielen, waardoor Bernard aanvankelijk niet voor een premie in aanmerking kwam. Na een kort telefoontje en het afwachten van een periode maakte Microsoft echter een beleidswijziging bekend: het bugbounty‑beleid werd aangepast en met terugwerkende kracht voor negentig dagen toepasbaar verklaard. Dat leverde Bernard alsnog een financiële beloning op — die hij niet openbaar maakte, maar hij noemde het een “leuke kerstbonus”.

Bernard deelde zijn inzichten ook publiekelijk, onder meer met een presentatie tijdens Black Hat over de fijne verschillen tussen authenticatie en autorisatie en hoe kleine misconfiguraties grote gevolgen kunnen hebben. Hij benadrukt dat het oplossen van zulke problemen vaak meer vereist dan enkel technische reparaties; juridische en organisatorische teams zijn bij fixes betrokken, waardoor sanering complex en kostbaar kan zijn — soms tot in de orde van een miljoen euro.

Hoewel hij zijn doel — in de top honderd komen — ruimschoots behaalde en nu de eerste plaats veroverde, verwacht Bernard niet dat hij hetzelfde tempo kan aanhouden. Zijn lijst met intern gerichte Microsoft‑portals is grotendeels uitgeput, en reverse‑engineering van binaries is niet zijn voorkeur. Voor hem blijft hacken vooral een kwestie van logisch raden wat ontwikkelaars bedoeld hebben en daarop slimme methodes bedenken om die intentie te omzeilen of te misbruiken. De gamification van het MSRC‑programma houdt hem gemotiveerd; het securityspel gaat voor hem door.