Hackerone utbetaler finnerlønn

19-åringen har funnet bugs for 9 millioner kroner på kort tid

Han har ingen utdannelse.

Det er gode penger å tjene om du er villig til å ofre noen timer av fritiden din på å finne feil i programvare og IT-systemer. Illustrasjonsfoto fra en hacker village arrangert på fjorårets Defcon-konferanse.
Det er gode penger å tjene om du er villig til å ofre noen timer av fritiden din på å finne feil i programvare og IT-systemer. Illustrasjonsfoto fra en hacker village arrangert på fjorårets Defcon-konferanse. (Foto: Steve Marcus, Reuters)

Han har ingen utdannelse.

Santiago Lopez (19) begynte for tre år siden å lese blogger og se videoer på Youtube for å lære seg å identifisere programvarefeil. Nå er han den første i verden som har funnet bugs for en million dollar  – nærmere ni millioner kroner – via bugrapporterings–plattformen Hackerone. 

Forretningsideen til Hackerone er enkel. Selskaper som melder seg for samarbeid sier «ja» til å bli ettergått i sømmene. Finner du feil i systemene til for eksempel Spotify, rapporteres det inn til selskapet og en finnerlønn utbetales til vedkommende som avdekket systemsvikten.

1 700 bugs

Lopez har siden han begynte funnet nesten 1 700 ulike bugs i systemene til blant annet Verizon, Twitter, Wordpress og ulike myndighetsorganer. 

– Da jeg fikk mer innsikt i mekanismene, skjønte jeg at jeg ble dratt mot denne type utfordringer og problemløsning, sier han til Hackerone

Første gang argentineren fant én feil, var han bare 17 år gammel. Den gang fikk han utbetalt finnerlønn på 50 dollar – rundt 430 kroner. 

Med tiden klarte han å opparbeidet seg et system, og dermed ble det enklere og enklere å avdekke feil. Nå er målsetningen å finne så mange småfeil som mulig på kortest mulig tid.

Santiago Lopez (19) har innkassert nesten ni millioner kroner på å lete etter feil i programvare. Foto: Hackerone

Fulltidsjobb

Det gjør at det blir klingene mynt i kassa for 19–åringen, som i dag har feilsøkingen som fulltidsjobb. 

Den største finnerlønnen Lopez  innkasserte var på 80 000 kroner etter at han avdekket en sårbarhet i en serverløsning som gjorde ham kapabel til å ta over hele systemet. 

– Jeg jobber med dette mellom seks og syv timer om dagen, og ser på det som en helt normal jobb, sier han til Hackerone. 

Så langt har nettstedet utbetalt nærmere 400 millioner kroner i finnerlønn til mer enn 300 000 registrerte brukerne av hackerplattformen. Totalt har det ble innrapportert over 100 000 sårbarheter av ulik grad. 

Uten utdannelse

Ifølge selskapets egne tall oppgir 81 prosent av de registrerte brukerne av plattformen at de har lært faget på egenhånd via ulike blogger og videoer. Kun seks prosent av de spurte brukerne sier de har høyere utdannelse.

Størsteparten av brukeren befinner seg i India, mens det er brukere i USA, Canada, Storbritannia, Tyskland og Singapore som har fått med seg mest av finnerlønnspotten. 

Ni av ti brukere av plattformen er under 35 år, og de fleste har bakgrunn fra andre industrier enn IT–bransjen. Det gjør at de kommer inn med et nytt og friskt blikk og ofte derfor er mer kapable til å finne feil. 

(artikkelen fortsetter under)

Det er gode penger å tjene. Medianinntekten for en sikkerhetsekspert er seks ganger så høy for en «hacker» som en som jobber med tradisjonell sikkerhet i Sverige, ifølge Hackerones egne tall.

Openbugbounty

De mest brukte verktøyene for å finne sikkerhetshullene er «Burp Suite», «Fiddler», «Webinspect» og «ChipWhisperer», kommer det frem i rapporten. 

Hackerone er ikke den eneste plattformen i markedet. Du har også Openbugbounty som har samme forretningside, men denne siden har ikke arrangerte partnerskap med leverandørene. 18 år gamle Eivind Limstrand benytter Openbugbounty.

18–åringen bruker rundt ti til 15 timer i uka på det han betrakter som en hobby, men har ikke vært særlig aktiv i det siste på grunn av andre prosjekter. 

Akkurat nå jobber han med et program som skal omgå Windows defender. 

– Jeg setter pris på at Openbugbounty gir meg full anonymitet, sier han til digi.no.

NIF ville ikke betale

Eivind Limstrand sverger til Openbugbounty-plattformen. Foto: Martin Braathen Røise

Vi har tidligere skrevet om Limstrand da han i begynnelsen av mars i fjor varslet om et alvorlig sikkerhetshull i IT–systemene til Norges idrettsforbund (NIF).

Idrettsforbundet tok ikke 18-åringen seriøst, og sikkerhetshullet ble ikke stengt før etter fem måneder. 

Idrettsforbundet opplyste til digi.no den gang at de ikke utbetaler «finnerlønn». Siden forbundet oppfattet at Limstrand ikke var ute etter å ivareta idrettens felles løsninger, ble det heller ikke gjort noe mer med saken i mars. 

 – Slik vi forstår korrespondansen var det heller ikke et tilbud om å hjelpe oss å løse et eventuelt sikkerhetshull.

– Vi opplevde dette som et forsøk på å ta seg betalt for å avsløre et sikkerhetshull, ikke til å sette inn tiltak som løser problemet, sa kommunikasjonsansvarlig Finn Aagaard til digi.no i september

Kommentarer (2)

Kommentarer (2)
Til toppen