19-årig har fundet bugs for en million dollars på kort tid

Illustration: Yurich84/Bigstock
Bug bounty programmer kan give en helt almindelige indkomst.

Santiago Lopez (19 år) begyndte for tre år siden at læse blogs og se videoer på Youtube for at lære sig at identificere softwarefejl.

Nu er han den første i verden, som har fundet bugs for en million dollars via bugrapporterings-platformen Hackerone.

Forretningsideen bag Hackerone er enkel: Selskaber, som melder sig til at samarbejde, siger ’ja’ til at blive gået efter i sømmene.

Finder du fejl i systemerne hos for eksempel Spotify, rapporteres det til selskabet, og en findeløn udbetales til vedkommende, som afdækkede systemsvigtet.

1.700 bugs

Santiago Lopez har, siden han begyndte, fundet næsten 1.700 forskellige bugs i systemerne hos blandt andet Verizon, Twitter, Wordpress og forskellige myndighedsorganer.

»Da jeg fik mere indsigt i mekanismerne, kunne jeg mærke, at jeg blev draget mod denne type udfordringer og problemløsninger,« siger han til Hackerone.

Første gang, argentineren fandt en fejl, var han kun 17 år gammel. Han fik udbetalt en findeløn på 50 dollars.

Med tiden oparbejdede han et system, og dermed blev det enklere og enklere at afdække fejl. Nu er målsætningen at finde så mange småfejl som muligt på kortest mulig tid.

Santiago Lopez (19 år) har indkasseret en million dollars på at lede efter fejl i software. Illustration: Hackerone

Fuldtidsjob

Det gør, at der kommer klingende mønt i kassen hos den 19-årige, som i dag har fejlsøgning som fuldtidsjob.

Den største findeløn, Lopez indkasserede, var på 9.000 dollars, da han afdækkede en sårbarhed i en serverløsning, som gjorde ham i stand til at overtage hele systemet.

»Jeg arbejder med det mellem seks og syv timer om dagen og ser på det som et helt normalt job,« siger han til Hackerone.

Indtil videre har sitet udbetalt tæt på 45 millioner dollars i findeløn til mere end 300.000 registrerede brugere af hackerplatformen. I alt er der blevet indrapporteret over 100.000 sårbarheder i forskellige grader.

Uden uddannelse

Ifølge selskabets egne tal (pdf) oplyser 81 procent af de registrerede brugere af platformen, at de har lært faget på egen hånd via forskellige blogs og videoer. Kun 6 procent af de adspurgte brugere siger, at de har en højere uddannelse.

Størsteparten af brugerne befinder sig i Indien, mens det er brugere i USA, Canada, Storbritannien, Tyskland og Singapore, som har fået den største del af findelønspengene.

Ni ud af ti brugere af platformen er under 35 år, og de fleste har baggrunde fra andre industrier end it-branchen. Det gør, at de kommer ind med et nyt og friskt blik og derfor ofte er bedre i stand til at finde fejl.

Der er gode penge at tjene. Gennemsnitsindtægten for en sikkerhedsekspert er seks gange så høj for en ’hacker’ som for en, der arbejder med traditionel sikkerhed i Sverige, ifølge Hackerones egne tal. Illustration: Hackerone

De mest brugte værktøjer til at finde sikkerhedshullerne er Burp Suite, Fiddler, Webinspect og ChipWhisperer, fremgår det af rapporten.

Artiklen er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Storgaard Dieu

Du mener DXC/CSC, KMD, osv?

Det er vel myndighederne, som i sidste ende stiller kravene. Hvis kravet er at et ekstert (evt. navngivet) bereau skal lave pentest, så er det jo lige meget hvem der udvikler og vedligeholder systemerne?

Det vil også være fint hvis myndighederne laver en "Vulnerability Disclosure Policy". Her kan man vel godt lade sig inspirere af USA og deres Department of Defence?

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize