Videoboodschap

2024/02/14

Jeroen Hermans

Translations of this article:
EN EN EN

Beste lezer. Welkom bij deze serie publicaties over mijn onderzoek naar Yealink en Lydis waar ik een jaar aan gewerkt heb.

In deze introductie heb ik er voor gekozen om persoonlijk toe te lichten wat er precies allemaal aan de hand is. Als jullie geïnteresseerd zijn in de volgende publicaties, houdt dan mijn LinkedIn profiel in de gaten. Ik zal hier elke publicatie aankondigen. De publicaties zullen elke 2 dagen tijdens werkdagen plaatsvinden.
Hieronder de video die ik heb gemaakt om e.e.a. persoonlijk toe te lichten. De tekst is integraal onder de video opgenomen.

De video

De tekst

Hallo. Mijn naam is Jeroen Hermans en dit is een video dit ik eigenlijk nooit heb willen maken. De reden waarom ik deze video wel maak zal ik in de komende weken heel erg uitgebreid beschrijven.
Ik heb sinds 2022 onderzoek gedaan naar de firma Yealink en de Nederlandse distributeur van Yealink: Lydis. Tijdens dit onderzoek zijn beveiligingsproblemen naar voren gekomen. Sommige van deze problemen zijn inmiddels opgelost. Nadat ik meer dan een jaar met Yealink en Lydis heb samengewerkt wilde ik mijn onderzoek gaan publiceren. Deze responsible disclosure procedure werd niet op prijs gesteld en heeft er uiteindelijk toe geleid dat de firma Lydis uit Almere mijzelf en mijn B.V. sommaties gestuurd heeft. In de sommaties werd, naast aantoonbare onwaarheden, ook beweert dat de firma Lydis in korte tijd door een publicatie van Follow The Money “minstens 7 miljoen euro” schade heeft geleden.
In de sommatie werd gedreigd om de geleden schade op mij te gaan verhalen. Laten we even nadenken wat dit zou betekenen. Een Nederlandse security researcher die een jaar, kostenloos, heeft samengewerkt met Yealink en Lydis om beveiligingsproblemen op te lossen, die vervolgens financieel kapot gemaakt wordt. De sommatie van de firma AKD is niet alleen aan mijn B.V. gericht maar ook aan mijzelf gericht. Op het moment dat ik dit soort bedragen zou moeten betalen, dat zou betekenen dat ik dakloos zou worden. Het is denk ik niet nodig om te vertellen dat de drang van Lydis om mij de mond te snoeren heel erg hoog was.

Gedurende de periode waarin ik verplicht mijn mond heb moeten houden over mijn werk is Lydis stelselmatig en regelmatig met eigen publicaties naar buiten gekomen op hun eigen website en in magazines waarin mijn goede naam te grabbel gegooid werd. Dit heeft mij doen besluiten om mijn volledige onderzoek uit te gaan schrijven en online te publiceren. Op deze manier kunt uzelf als lezer de echte feiten zien.

Mij is regelmatig verweten dat ik een hacker ben die in de anonimiteit van het internet opereer. Door nu op deze manier naar buiten te treden en letterlijk mijn gezicht te laten zien wil ik laten zien dat dit absoluut niet het geval is. Mijn identiteit is nooit een geheim geweest. Dit in tegenstelling tot sommige mensen die ik tijdens het onderzoek ben tegengekomen.

Ik hoop dat het een document zal zijn waar (toekomstige) beveiligingsonderzoekers iets aan zullen hebben, maar wellicht ook interessant is om te lezen hoe een responsible disclosure traject gaat en hoe lang dit kan duren.

Vanaf vandaag zal er elke 2 dagen op werkdagen een publicatie plaatsvinden totdat alle data vrijgegeven is.