Adolescente argentino se convierte en el primer hacker de recompensas por errores de 1 millón de dólares del mundo en HackerOne

Foto de Irvan Smith en Unsplash

Singapur, @mcgallen #microwireinfo, 4 de marzo de 2019 - HackerOne, la principal plataforma de seguridad impulsada por piratas informáticos, anunció hoy que el hacker de recompensas por errores @try_to_hack es el primero en superar el millón de dólares en recompensas por ayudar a las empresas a ser más seguras.

Una recompensa por errores es un premio otorgado a un pirata informático que informa una debilidad de seguridad válida a una organización. Santiago López comenzó a informar de las debilidades de seguridad a las empresas a través de programas de recompensas por errores en 2015 en HackerOne. López, que se conoce con el nombre de @try_to_hack, ha informado más de 1,600 fallas de seguridad a empresas, incluida Twitter. y Verizon Media Company, así como iniciativas gubernamentales y corporativas privadas.

"No tengo suficientes palabras para describir lo feliz que estoy de convertirme en el primer hacker en alcanzar este hito ”, dijo López. “Estoy increíblemente orgulloso de ver que mi trabajo es reconocido y valorado. Para mí, este logro representa que las empresas y las personas que confían en ellas se están volviendo más seguras que antes, y eso es increíble. Esto es lo que me motiva a seguir esforzándome y me inspira a llevar mi piratería al siguiente nivel ".

López es uno de los hackers mejor clasificados de todos los tiempos en la clasificación de HackerOne entre más de trescientos treinta mil hackers que compiten por el primer puesto. Se invita a los piratas informáticos a encontrar debilidades en las más de 1,200 empresas de tecnología, gobiernos y empresas que confían en la comunidad de piratas informáticos de HackerOne para informar de forma segura las vulnerabilidades de seguridad antes de que puedan ser explotadas por delincuentes. Su especialidad es encontrar vulnerabilidades de referencia insegura de objetos directos (IDOR).

Como muchos hackers, López es autodidacta. Primero se inspiró para comenzar después de ver la película. Hackers y aprendí a piratear viendo tutoriales en línea gratuitos y leyendo blogs populares. En 2015, a los 16 años, se inscribió en HackerOne y obtuvo su primera recompensa de US$ 50 meses después. Eligió su alias "try_to_hack" para mantenerse motivado: estaba decidido a intentar piratear empresas independientemente de si sabía que podía tener éxito. Hoy conserva el nombre para recordarle cómo empezó como pirata informático de recompensas por errores. OEn los últimos tres años de piratería después de la escuela y ahora a tiempo completo, ha ganado casi cuarenta veces el salario promedio de un ingeniero de software en Buenos Aires solo con recompensas por errores.

"Toda la comunidad de HackerOne está asombrada por el trabajo de Santiago ”, dijo Marten Mickos, CEO de HackerOne. “Curioso, autodidacta y creativo, Santiago es un modelo a seguir para cientos de miles de aspirantes a hackers en todo el mundo. La comunidad de hackers es la defensa más poderosa que tenemos contra el ciberdelito. Este es un hito fantástico para Santiago, pero aún mucho mayores son las mejoras en seguridad que las empresas han logrado y siguen logrando gracias al trabajo incansable de Santiago ”.

López no estaba solo en la carrera hacia este hito de recompensa por errores.

Días después de que López superó US$ 1 millón en recompensas, Mark Litchfield, también conocido por su nombre de usuario @mlitchfield, se unió a las filas del club de hackers de recompensas de errores de un millón de dólares. En 2016, Litchfield hizo historia como el primer hacker en ganar más US$ 500,000 en recompensas por errores. Hasta la fecha, Litchfield ha ayudado a organizaciones como New Relic, Dropbox, Venmo, Yelp, Rockstar Games, Shopify y Starbucks a resolver más de 900 debilidades de seguridad.

Para obtener más información sobre el viaje de Santiago López para convertirse en el hacker con mayores ingresos en HackerOne, lea las últimas preguntas y respuestas con él aquí. Para participar y comenzar a piratear, HackerOne ahora ofrece Hacker101- una colección gratuita de videos, recursos y actividades prácticas que le enseñarán todo lo necesario para operar como un cazarrecompensas de errores. Para unirse a la comunidad de hackers más grande del mundo que, solo en 2018, ganó más de US$ 19M en recompensas por sus contribuciones, regístrese en HackerOne aquí.

Santiago Lopez, HackerOne ético hacker
Santiago Lopez

Preguntas y respuestas con Santiago Lopez

Extracto: @try_to_hack, el argentino de 19 años, acaba de hacer historia como el primero en ganar más de $ 1,000,000 en recompensas en HackerOne. Nos conectamos con él para conocer más sobre cómo alcanzó este impresionante hito. ¡Esperamos que esté tan inspirado como nosotros! El argentino @try_to_hack, de 19 años, acaba de hacer historia como el primero en ganar más de US $ 1,000,000 en recompensas en HackerOne. Desde que se unió a HackerOne en 2015, Santiago ha reportado más de 1,670 vulnerabilidades únicas válidas para empresas como Verizon Media Company, Twitter, WordPress, Automattic y HackerOne, así como programas privados. Constantemente encabeza las tablas de clasificación de HackerOne, con el percentil 91 en señal, el percentil 84 en impacto, el segundo en general en la plataforma y más de 2 en reputación.

Como hacker autodidacta, que utiliza principalmente blogs y YouTube para ampliar sus habilidades, Santiago nos muestra a todos que aprender a hackear no está reservado para el aula tradicional.

Estamos emocionados por Santiago y agradecidos por las más de 1,670 vulnerabilidades que informó que ahora están resueltas. Nos conectamos con él para conocer más sobre cómo alcanzó este impresionante hito. ¡Esperamos que esté tan inspirado como nosotros!

P: ¿Cómo se siente ser el primer pirata informático de recompensas por errores de un millón de dólares?
SL: No tengo suficientes palabras para describir lo feliz que estoy de convertirme en el primer hacker en alcanzar este hito. Estoy increíblemente orgulloso de ver que mi trabajo es reconocido y valorado. No solo por el dinero, sino porque este logro representa que la información de empresas y personas es más segura que antes, y eso es increíble.

P: ¿Qué te hizo querer ser un hacker?
SL: Siempre me gustaron las computadoras y la programación desde que era un niño, pero nunca supe nada sobre piratería. Ni siquiera sabía que existía hasta que vi la película "Hackers", que me abrió un mundo completamente nuevo. A medida que aprendí más, me di cuenta de que me atraían naturalmente los tipos de desafíos y oportunidades de resolución de problemas asociados con la piratería. Lo mejor fue cuando descubrí la existencia de programas de recompensas por errores como HackerOne. Me permitió hacer lo que me gusta hacer, ganar dinero cuando quería, donde quería, y al mismo tiempo hacer el mundo un poco más seguro. ¡Fue increíble!

P: ¿Cómo aprendiste a hackear y cuándo empezaste?
SL: En 2015, cuando tenía 16 años. Soy completamente autodidacta. Aprendí a piratear gracias a Internet. Vi tutoriales en línea y también leí mucho sobre piratería. Así es como me convertí en el hacker que soy hoy. Me tomó mucho tiempo encontrar mi primera vulnerabilidad, pero con paciencia y esfuerzo, definitivamente se puede lograr.

P: ¿Cómo encontró los programas de recompensas por errores?
SL: En Internet y HackerOne.

P: ¿Qué tipo de errores y programas le interesan más?
SL: Lo que más me interesan son los programas que pagan. Me importa menos si son privados o públicos, y me importa más el alcance del programa de recompensas por errores. Lo que más me interesa cuando busco errores es encontrar tantos errores como pueda en un corto período de tiempo y tratar de obtener buenas recompensas por ellos. Sé que dicen calidad antes que cantidad, pero la cantidad es lo que me gusta.

P: ¿Cuándo ganó su primera recompensa y para qué tipo de error?
SL: Mi primer pago de recompensa fue de $ 50 por un CSRF que encontré en 2016 cuando tenía 17 años. En ese momento no estaba muy interesado en el tamaño de la recompensa. Estaba tan feliz y emocionado de ganar mi primera recompensa por mi cuenta.

P: ¿Cuál fue la recompensa más grande que ha ganado y para qué fue?
SL: US $ 9K para una SSRF en un programa privado.

P: ¿Qué fue lo primero que compró con su dinero de recompensa por errores?
SL: Una computadora nueva. Mi computadora era vieja y sabía que una computadora más rápida me ayudaría a hacer mi piratería mucho más rápida y eficiente.

P: ¿Cuándo te gusta piratear principalmente, a qué hora del día?
SL: Un poco por la tarde y por la noche, pero preferiblemente por la noche. Veo la piratería como un trabajo normal, por lo que tiendo a piratear entre 6 y 7 horas al día.

P: ¿Cuál es su tipo de vulnerabilidad favorita para encontrar y por qué?
SL: IDORs [o referencia de objeto directo inseguro]. Es una vulnerabilidad que me resulta muy fácil de encontrar y, a menudo, los programas de recompensa de errores más grandes pagan bien por ellos.

P: Su nombre de usuario es "intentar piratear". ¿Cómo se le ocurrió ese nombre? Como el primer hacker de un millón de dólares, tal vez ahora puedas ser "yo pirateo" 🙂
SL: Al principio, mi objetivo era intentar piratear empresas, pero no estaba tan seguro de tener éxito. Es por eso que “try_to_hack” parecía un muy buen nombre en ese momento. Sin embargo, todavía me gusta y no lo cambiaré porque me recuerda cómo empecé.

P: ¿Cómo es la comunidad de hackers en Argentina? ¿Tus amigos también son piratas informáticos? ¿Hackea con otras personas?
SL: Desafortunadamente, no he tenido la oportunidad de conocer a otros hackers en Argentina pero estoy seguro de que son muchos. Ninguno de mis amigos es hacker. Me gusta hackear por mi cuenta. Estoy interesado en socializar con otros piratas informáticos para intercambiar conocimientos, pero encontrar errores por mi cuenta es bastante emocionante.

P: ¿Planeas seguir pirateando con programas de recompensas por errores?
SL: Estoy seguro de que seguiré pirateando con programas de recompensas por errores. Es una de las cosas más interesantes que he descubierto en mi vida. Estoy seguro de que cualquiera que descubra programas de recompensas por errores pronto también se dará cuenta de que abre nuevas oportunidades tanto para los piratas informáticos como para las empresas comprometidas con la seguridad.

P: ¿Tus amigos y familiares saben que eres un hacker? ¿Cómo reacciona la gente cuando les dices que eres un hacker, y uno de los mejores del mundo en eso?
SL: Sí, mis amigos y familiares saben que soy un hacker. La primera vez que les dije, no lo podían creer. Vieron al hacker como una mala persona que robaba a la gente. No creían que fuera posible que un hacker pudiera ser bueno y ganar dinero legalmente. Después de pasar mucho tiempo explicándoles esto a mis amigos y familiares, finalmente empezaron a creerlo y estaban muy felices por mi éxito.

P: ¿Algo más que quieras agregar?
SL: Quiero agradecer a HackerOne por celebrar mi logro, realmente lo aprecio. Espero que lleguen más recompensas. HackerOne es la mejor plataforma de recompensas de errores sin lugar a dudas, y cualquier hacker / empresa debería usarla, y estoy seguro de que no se arrepentirá 🙂

Sobre HackerOne
HackerOne es el # 1 plataforma de seguridad impulsada por piratas informáticos, ayudando a las organizaciones a encontrar y corregir vulnerabilidades críticas antes de que puedan ser explotadas. Más empresas de Fortune 500 y Forbes Global 1000 confían en HackerOne que en cualquier otra alternativa de seguridad impulsada por piratas informáticos. El Departamento de Defensa de EE. UU., Hyatt, General Motors, Google, Twitter, GitHub, Nintendo, Lufthansa, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, el Centro de Coordinación CERT y más de 1,200 organizaciones más se han asociado con HackerOne para encontrar más de 100,000 vulnerabilidades. y otorgar más de 43 millones de dólares bug bounties. HackerOne tiene su sede en San Francisco y oficinas en Londres, Nueva York, Países Bajos y Singapur.

###