黑客 HackerOne 漏洞奖励

【猎云网(微信号:ilieyun)】5月4日报道(编译:石头)

Jobert Abma,现年25岁,大热创企HackerOne的创始人之一,他13岁的时候就闯进电脑行业了。

长久以来,他跟他的联合创始人,也是他的好朋友Michiel Prins都热衷于黑客事业。

他们俩从小在荷兰长大,Abma给了Prins一份特殊的毕业礼物:一个当地电视台的用户名和密码,这个电视台之前做过有关他们学校的例行新闻。

两人随后掌握了电视台的播出权,并且改作了他们自己的电视直播。Abma向外媒记者透露,那会儿电视台可不高兴被他们两个控制。

老师后来因为他们的这次黑客行为责罚了Prins,因为他比Abma年纪稍微大些。Abma说:“但Prins从没告诉任何人其实我才是罪魁祸首。”Prins的惩罚是做25小时的社区服务,擦窗户,“但这就是好朋友的作用啊。”

他们两人的黑客技术都很好,这引起了Abma的互联网提供商的注意。这家公司给他的父母发了一封信,写道:“我们认为你的电脑上安装了一个病毒,因为你的系统上总有奇怪的流量。”Abma后来回忆道:“我的父母好像是这样说的,我们没有病毒,我们只有一个儿子。”

考上荷兰汉斯应用科技大学大概是这对好朋友命运的转折点。

Abma还在大一的时候,他们俩就黑进了学校用于管理家庭作业和成绩的软件。他们发现了一个可以看到所有学生成绩的漏洞。

他们将这个漏洞告诉了软件供应商之后就再没有下文了,Abma回忆说道。(通常来说,软件公司不会自动回复每一个联系他们,并且声称自己发现软件运行错误的人。)

所以他们俩就把这个漏洞上报给了学校。校方联系软件公司修补了这个漏洞。学校对他俩印象深刻,便聘请他们给这个软件做一个更深入的漏洞测试。

Abma说:“我们在这份合约上赚了很多钱,足够支付大学学费了。我们一边上大学学习,一边也在大学里工作。”

据Abma回忆,校方很欣赏他们的工作和研究成果,但那个软件公司却恰恰相反,“我们后来收到了一封勒令停止通知函。”

在校期间每周挣1万美金

考虑到所有这一切,包括未来可能要面对的潜在麻烦,他们俩的父母要求他们开一个公司。

但是争取吸引客户就是个首要解决的问题。Abma说:“你可以想象,没有人会在安全问题上信任两个大学生。”

黑客 HackerOne 漏洞奖励

因此,他们提出一个挑战,如果他们不能在一小时之内黒进公司系统,就请所有人吃蛋糕。

他还说:“但是如果我们成功黒进公司,那么我们希望可以坐下来谈谈问题出在什么地方,我们又能做什么来帮助你们。”

大家都很喜欢这个挑战。Abma 说道:“我们花费了大量的时间完成了挑战,这是我们面对荷兰所有大公司最好的自我介绍。”

很快他们就和政府、大型银行以及保险公司签订了合约。

Abma回忆时说道:“那是多么激动人心的时刻。我们两个不过19、20岁,每星期就能赚大约1万美金。对两个大学生来说,这可以说是巨款了。”

HackerOne的灵感

在这样的背景下,他们两人搬到了旧金山,跟Merijn Terheggen 和 Alex Rice一起共同创立了HackerOne网站,其中Alex Rice也是Facebook的前任产品安全负责人。

HackerOne是一个网站,企业可以在上面花钱找黑客攻击自己,然后发现漏洞。漏洞越大,企业支付的费用越高。(HackerOne赚取这个费用的20%。)

这就是“漏洞发现奖励”制度。

这个方法其实就是花钱聘请正规的“正义黑客”在图谋不轨的黑客找上门之前发现漏洞问题。

很多大型的科技公司都有自己的漏洞发现奖励制度,包括像Facebook, Google, Microsoft, Mozilla(火狐浏览器), Uber以及Yahoo这样的大公司。

但是HackerOne提供给公司的是合格的、安全的黑客选择。它还提供软件可以让公司自己管理软件漏洞并且修复它们。HackerOne的客户面向所有人,不管是大型的科技公司还是新兴的初创企业,这其中包括有国防部、GM、 Slack(聊天工具企业)、Twitter、 Yahoo以及 Uber公司。

700万美元的赏金支出

2012年成立至今,HackerOne已经帮助各类公司发现了21000种验证漏洞,累计支付金额超过了700万美元。

随着企业逐步意识到拥有黑客盟军的价值,HackerOne也在快速茁壮地成长。

这个创企到现在已经拥有500个客户,大约50名员工,并且募集到了3400万美元的资金。

这就意味着黑客们通过这个网站能赚到更多的钱。比如说,仅用12周的时间,黑客就可以赚取近100万美元的奖金。HackerOne二月份的奖励支出就有600万美金,而这个数字到四月份将上升为700万美金。

HackerOne并不是唯一一个设有漏洞奖励制度的创企。Bugcrowd、CrowdSecurity、和 Synack这些公司也是有这个制度的。

然而,去年Marten Mickos出任CEO的时候给公司提了一个醒。他作为Eucalyptus 和MySQL前任CEO在软件行业久负盛名,但他出于某些原因把这两个公司都卖了。

今年额外收入8万美金

尽管Abma每天作为HackerOne的联合创始人有很多工作要做,但他在心底里还是一个黑客。

他还是会在晚上或是在周末亲自参与到漏洞发现奖励项目中来。每发现一个有价值的软件漏洞,客户公司就会为此支付500美元到1000美元不等。

但是费用可以越收越高。打个比方说,谷歌,可以在最棘手的软件漏洞上花费高达2万美金。还有其他公司可能会花费更多。

Abma说他在过去的8个月里已经获得了8万美元的奖金。

在HackerOne网站上,有2600名至少发现过一次软件漏洞的黑客。Abma说他自己并不是最优秀的前100名之一,而是前3%之一。

也就是说还有不少的黑客赚的奖金更多。

Abma说:“有一些黑客每年能赚20万美元,大约有20个人每年能赚10万美元。我知道有人今年的个人目标是50万美元,我相信他可以做到的。”

大多数黑客其实并没有把这个当做全职的工作来做,他们都有正经的工作。很多人是在科技公司上班的,可能是软件工程师,也可能是网络安全员。这些人做这个兼职来赚取第二份收入。这对很多人来说是一份不错的工资补贴。

对Abma来说,他所做的一切是在帮助公司检查漏洞,帮助别人赚取外快的同时,自己也能有额外的收入。

他还说:“有些人拿这份收入付大学学费,也有人拿它还贷款。我们都是普通人,同时我们也是黑客,为未来的互联网发展贡献者自己的力量。”

【猎云网原创文章未经授权转载必究,如需转载请联系官方微信号进行授权。转载时须在文章头部明确注明出处、保留官方微信、作者和原文超链接。如转自猎云网(微信号:ilieyun)字样。】