Un adolescent argentin devient le premier pirate de bugs bounty au monde d'un million de dollars américains sur HackerOne

Photo d'Irvan Smith sur Unsplash

Singapour, @mcgallen #microwireinfo, 4 mars 2019 - HackerOne, la principale plate-forme de sécurité propulsée par les hackers, a annoncé aujourd'hui que le hacker bounty bounty @try_to_hack est le premier à dépasser le million de dollars US en primes pour aider les entreprises à devenir plus sécurisées.

Une prime de bogue est une récompense décernée à un pirate informatique qui signale une faille de sécurité valide à une organisation. Santiago Lopez a commencé à signaler les failles de sécurité aux entreprises par le biais de programmes de primes de bogues en 2015 sur HackerOne. Lopez - qui utilise le pseudonyme @try_to_hack - a signalé plus de 1,600 failles de sécurité à des entreprises dont Twitter et Verizon Media Company, ainsi que des initiatives privées d'entreprises et gouvernementales.

"Je n'ai pas assez de mots pour décrire à quel point je suis heureux de devenir le premier pirate informatique à atteindre ce repère », a déclaré Lopez. «Je suis extrêmement fier de voir que mon travail est reconnu et valorisé. Pour moi, cette réalisation signifie que les entreprises et les personnes qui leur font confiance sont de plus en plus en sécurité qu'elles ne l'étaient auparavant, et c'est incroyable. C'est ce qui me motive à continuer à me pousser et m'inspire à faire passer mon hacking au niveau supérieur.

Lopez est l'un des meilleurs hackers de tous les temps dans le classement de HackerOne sur plus de trois cent trente mille hackers en compétition pour la première place. Les pirates sont invités à découvrir les faiblesses des plus de 1,200 XNUMX sociétés technologiques, gouvernements et entreprises qui s'appuient sur la communauté des pirates informatiques de HackerOne pour signaler en toute sécurité les failles de sécurité avant qu'elles ne puissent être exploitées par des criminels. Sa spécialité est de trouver des vulnérabilités IDOR (Insecure Direct Object Reference).

Comme beaucoup de hackers, Lopez est autodidacte. Il a d'abord été inspiré pour commencer après avoir vu le film Hackers et appris à pirater en regardant des tutoriels en ligne gratuits et en lisant des blogs populaires. En 2015, à 16 ans, il s'est inscrit à HackerOne et a obtenu sa première prime de US50 mois plus tard. Il a choisi son alias «try_to_hack» pour rester motivé - il était déterminé à essayer de pirater des entreprises, qu'il savait qu'il pouvait réussir. Il garde le nom aujourd'hui pour lui rappeler comment il a commencé en tant que hacker bounty. Ou cours des trois dernières années de piratage après l'école et maintenant à plein temps, il a gagné près de quarante fois le salaire moyen d'un ingénieur logiciel à Buenos Aires rien que sur les primes de bogues.

"L'ensemble de la communauté HackerOne est impressionné par le travail de Santiago », a déclaré Marten Mickos, PDG de HackerOne. «Curieux, autodidacte et créatif, Santiago est un modèle pour des centaines de milliers de hackers en herbe à travers le monde. La communauté des hackers est la défense la plus puissante que nous ayons contre la cybercriminalité. C'est une étape fantastique pour Santiago, mais les améliorations en matière de sécurité que les entreprises ont réalisées et continuent de réaliser grâce au travail acharné de Santiago sont encore bien plus grandes.

Lopez n'était pas seul dans la course vers ce repère de bounty.

Quelques jours après le dépassement de Lopez US1 million de dollars en primes, Mark Litchfield - également connu sous son pseudonyme @mlitchfield - a rejoint les rangs du club de hackers bounty bounty d'un million de dollars. En 2016, Litchfield est entré dans l'histoire en tant que premier hacker à gagner plus US500,000 900 $ en primes de bogues. À ce jour, Litchfield a aidé des organisations telles que New Relic, Dropbox, Venmo, Yelp, Rockstar Games, Shopify et Starbucks à résoudre plus de XNUMX faiblesses de sécurité.

Pour en savoir plus sur le parcours de Santiago Lopez pour devenir le hacker le plus rentable sur HackerOne, lisez les dernières questions-réponses avec lui ici. Pour s'impliquer et se lancer dans le piratage, HackerOne propose désormais Hackerxnumx- une collection gratuite de vidéos, de ressources et d'activités pratiques qui apprendront tout ce dont vous avez besoin pour fonctionner en tant que chasseur de primes. Rejoindre la plus grande communauté de hackers au monde qui, rien qu'en 2018, a gagné plus de US19 millions de dollars en primes pour leurs contributions, inscrivez-vous à HackerOne ici.

Santiago Lopez, hacker éthique HackerOne
Santiago Lopez

Questions-réponses avec Santiago Lopez

Extrait: @try_to_hack, l'Argentin de 19 ans, vient d'entrer dans l'histoire en étant le premier à gagner plus de 1,000,000 19 1,000,000 $ en primes sur HackerOne. Nous nous connectons avec lui pour en savoir plus sur la façon dont il a atteint cette étape impressionnante. Nous espérons que vous êtes tout simplement inspiré comme nous! L'Argentin de 2015 ans @try_to_hack vient d'entrer dans l'histoire en étant le premier à gagner plus de 1,670 91 84 $ US en primes sur HackerOne. Depuis son arrivée à HackerOne en 2, Santiago a signalé plus de 37,000 vulnérabilités uniques valides à des entreprises telles que Verizon Media Company, Twitter, WordPress, Automattic et HackerOne, ainsi qu'à des programmes privés. Il est constamment en tête des classements HackerOne, avec le XNUMXe centile pour le signal, le XNUMXe centile pour l'impact, le XNUMXe au général sur la plate-forme et plus de XNUMX+ réputation!

En tant que hacker autodidacte, utilisant principalement les blogs et YouTube pour développer ses compétences, Santiago nous montre à tous que l'apprentissage du piratage n'est pas réservé à la salle de classe traditionnelle.

Nous sommes ravis pour Santiago et reconnaissants pour les plus de 1,670 XNUMX vulnérabilités qu'il a signalées et qui sont maintenant résolues. Nous avons communiqué avec lui pour en savoir plus sur la façon dont il a atteint cette étape impressionnante. Nous espérons que vous êtes aussi inspiré que nous!

Q: Qu'est-ce que ça fait d'être le premier hacker de primes de bogues d'un million de dollars?
SL: Je n'ai pas assez de mots pour décrire à quel point je suis heureux de devenir le premier hacker à atteindre ce repère. Je suis extrêmement fier de voir que mon travail est reconnu et valorisé. Pas seulement pour l'argent, mais parce que cette réalisation représente les informations des entreprises et des personnes qui sont plus sécurisées qu'auparavant, et c'est incroyable.

Q: Qu'est-ce qui vous a donné envie de devenir hacker?
SL: J'ai toujours aimé les ordinateurs et la programmation depuis mon plus jeune âge, mais je n'ai jamais rien su du piratage informatique. Je ne savais même pas que cela existait avant de voir le film «Hackers», qui m'a ouvert un tout nouveau monde. Au fur et à mesure que j'en apprenais davantage, j'ai réalisé que j'étais naturellement attirée par les types de défis et d'opportunités de résolution de problèmes associés au piratage. Le meilleur a été lorsque j'ai découvert l'existence de programmes de primes de bogues tels que HackerOne. Cela m'a permis de faire ce que j'aime faire, de gagner de l'argent quand je le voulais, où je voulais, et en même temps de rendre le monde un peu plus sûr. C'était incroyable!

Q: Comment avez-vous appris à pirater et quand avez-vous commencé?
SL: En 2015, j'avais 16 ans. Je suis complètement autodidacte. J'ai appris à pirater grâce à Internet. J'ai regardé des tutoriels en ligne et j'ai également beaucoup lu sur le piratage. C'est ainsi que je suis devenu le hacker que je suis aujourd'hui. Il m'a fallu beaucoup de temps pour trouver ma première vulnérabilité, mais avec de la patience et des efforts, cela peut certainement être atteint.

Q: Comment avez-vous trouvé les programmes de primes aux bogues?
SL: Sur Internet et HackerOne.

Q: Quels types de bogues et de programmes vous intéressent le plus?
SL: Je m'intéresse surtout aux programmes payants. Je me soucie moins de savoir s'ils sont privés ou publics, et je me soucie davantage de la portée du programme de bounty. Ce qui m'intéresse le plus lorsque je recherche des bogues, c'est de trouver autant de bogues que possible dans un court laps de temps et d'essayer de gagner de bonnes récompenses pour eux. Je sais qu'ils disent la qualité avant la quantité, mais la quantité est ce que j'aime.

Q: Quand avez-vous gagné votre première prime et pour quel type de bogue?
SL: Mon premier versement de prime était de 50 $ pour un CSRF que j'ai trouvé en 2016 quand j'avais 17 ans. À l'époque, je n'étais pas très intéressé par la taille de la prime. J'étais tellement heureuse et excitée de gagner ma première récompense par moi-même.

Q: Quelle est la plus grosse prime que vous avez gagnée et à quoi sert-elle?
SL: 9 K $ US pour un SSRF dans un programme privé.

Q: Quelle a été la première chose que vous avez achetée avec votre argent bounty?
SL: Un nouvel ordinateur. Mon ordinateur était vieux et je savais qu'un ordinateur plus rapide m'aiderait à rendre mon piratage beaucoup plus rapide et plus efficace.

Q: Quand aimez-vous principalement pirater, à quelle heure de la journée?
SL: Un peu l'après-midi et le soir, mais de préférence la nuit. Je considère le piratage comme un travail normal, j'ai donc tendance à pirater entre 6 et 7 heures par jour.

Q: Quel est votre type de vulnérabilité préféré à trouver et pourquoi?
SL: IDORs [ou référence d'objet directe non sécurisée]. C'est une vulnérabilité qui m'est très facile à trouver et les programmes de primes de bogues plus importants sont souvent bien payés pour eux.

Q: Votre nom d'utilisateur est «essayez de pirater» - comment avez-vous trouvé ce nom? En tant que premier pirate informatique à un million de dollars, vous pouvez peut-être maintenant être "je pirate" 🙂
SL: Au début, mon objectif était d'essayer de pirater des entreprises mais je n'étais pas sûr de réussir. C'est pourquoi «try_to_hack» semblait être un très bon nom à ce moment-là. Cependant, je l'aime toujours et je ne le changerai pas car cela me rappelle comment j'ai commencé.

Q: À quoi ressemble la communauté des hackers en Argentine? Vos amis sont-ils aussi des pirates informatiques? Faites-vous du piratage avec d'autres personnes?
SL: Malheureusement, je n'ai pas eu la chance de rencontrer d'autres hackers en Argentine mais je suis sûr qu'il y en a beaucoup. Aucun de mes amis n'est hackeur. J'aime pirater moi-même. Je suis intéressé à socialiser avec d'autres pirates pour échanger des connaissances, mais trouver des bogues par moi-même est assez excitant.

Q: Avez-vous l'intention de continuer à pirater avec des programmes de primes de bogues?
SL: Je suis sûr que je vais continuer à pirater avec des programmes de bounty. C'est l'une des choses les plus intéressantes que j'ai découvertes dans ma vie. Je suis sûr que quiconque découvre des programmes de primes aux bogues se rendra vite compte que cela ouvre de nouvelles opportunités pour les pirates et les entreprises qui se sont engagées dans la sécurité.

Q: Vos amis et votre famille savent-ils que vous êtes un hacker? Comment les gens réagissent-ils lorsque vous leur dites que vous êtes un hacker - et l'un des meilleurs au monde à cela?
SL: Oui, mes amis et ma famille savent que je suis un hacker. La première fois que je leur ai dit, ils ne pouvaient pas y croire. Ils considéraient le pirate comme une mauvaise personne qui volait des gens. Ils ne pensaient pas qu'il était possible qu'un hacker puisse être bon et gagner de l'argent légalement. Après avoir passé beaucoup de temps à expliquer cela à mes amis et à ma famille, ils ont finalement commencé à y croire et étaient très heureux de mon succès.

Q: Avez-vous autre chose à ajouter?
SL: Je tiens à remercier HackerOne pour avoir célébré ma réussite, je l'apprécie vraiment. J'espère que d'autres primes viendront. HackerOne est sans aucun doute la meilleure plateforme de bug bounty, et tout hacker / entreprise devrait l'utiliser, et je suis sûr qu'il n'y aura aucun regret 🙂

À propos de HackerOne
HackerOne est le n ° 1 plateforme de sécurité propulsée par les hackers, aidant les organisations à trouver et à corriger les vulnérabilités critiques avant qu'elles ne puissent être exploitées. Plus de sociétés Fortune 500 et Forbes Global 1000 font confiance à HackerOne qu'à toute autre alternative de sécurité basée sur les hackers. Le département américain de la Défense, Hyatt, General Motors, Google, Twitter, GitHub, Nintendo, Lufthansa, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, le centre de coordination CERT et plus de 1,200 autres organisations se sont associés à HackerOne pour trouver plus de 100,000 vulnérabilités et attribuer plus de 43 millions de dollars primes de bug. HackerOne a son siège à San Francisco et des bureaux à Londres, New York, aux Pays-Bas et à Singapour.

###