Remaja Argentina Menjadi Peretas Bug Bounty US $ 1 Juta Pertama di Dunia di HackerOne

Foto oleh Irvan Smith di Unsplash

Singapura, @mcgallen #microwireinfo, 4 Maret 2019 - PeretasOne, platform keamanan terdepan yang didukung oleh peretas, hari ini mengumumkan bahwa bug bounty hacker @try_to_hack adalah yang pertama melampaui US $ 1 juta dalam penghargaan bounty untuk membantu perusahaan menjadi lebih aman.

Bug bounty adalah penghargaan yang diberikan kepada peretas yang melaporkan kelemahan keamanan yang valid ke suatu organisasi. Santiago Lopez mulai melaporkan kelemahan keamanan kepada perusahaan melalui program bug bounty pada tahun 2015 di HackerOne. Lopez - yang menggunakan @try_to_hack - telah melaporkan lebih dari 1,600 kelemahan keamanan kepada perusahaan termasuk Twitter dan Verizon Media Company, serta inisiatif perusahaan swasta dan pemerintah.

"Saya tidak memiliki cukup kata untuk menggambarkan betapa bahagianya saya menjadi peretas pertama yang mencapai tengara ini, ”kata Lopez. “Saya sangat bangga melihat pekerjaan saya diakui dan dihargai. Bagi saya, pencapaian ini menunjukkan bahwa perusahaan dan orang yang mempercayai mereka menjadi lebih aman daripada sebelumnya, dan itu luar biasa. Inilah yang memotivasi saya untuk terus mendorong diri sendiri dan menginspirasi saya untuk meningkatkan peretasan saya. ”

Lopez adalah peretas sepanjang masa dengan peringkat teratas di papan peringkat HackerOne dari lebih dari tiga ratus tiga puluh ribu peretas yang bersaing untuk posisi teratas. Peretas diundang untuk menemukan kelemahan di lebih dari 1,200 perusahaan teknologi, pemerintah, dan perusahaan yang mengandalkan komunitas peretas HackerOne untuk melaporkan kerentanan keamanan dengan aman sebelum dapat dieksploitasi oleh penjahat. Spesialisasinya adalah menemukan kerentanan Insecure Direct Object Reference (IDOR).

Seperti banyak peretas, Lopez otodidak. Dia pertama kali terinspirasi untuk memulai setelah menonton filmnya Hacker dan belajar meretas dengan menonton tutorial online gratis dan membaca blog populer. Pada 2015, pada usia 16 tahun, ia mendaftar ke HackerOne dan mendapatkan bounty pertamanya US$ 50 bulan kemudian. Dia memilih alias "try_to_hack" untuk membuat dirinya tetap termotivasi - dia bertekad untuk mencoba meretas perusahaan terlepas dari apakah dia tahu dia bisa berhasil. Dia menyimpan nama itu hari ini untuk mengingatkannya tentang bagaimana dia memulai sebagai hacker bug bounty. HAISelama tiga tahun terakhir melakukan peretasan setelah sekolah dan sekarang bekerja penuh, dia telah memperoleh hampir empat puluh kali lipat gaji rata-rata insinyur perangkat lunak di Buenos Aires hanya dari bug bounties.

"Seluruh komunitas HackerOne kagum dengan pekerjaan Santiago, ”kata CEO HackerOne Marten Mickos. “Penasaran, otodidak, dan kreatif, Santiago adalah teladan bagi ratusan ribu calon peretas di seluruh dunia. Komunitas peretas adalah pertahanan terkuat yang kami miliki melawan kejahatan dunia maya. Ini adalah pencapaian yang fantastis bagi Santiago, tetapi masih jauh lebih besar lagi peningkatan keamanan yang telah dicapai dan terus dicapai oleh perusahaan berkat kerja keras Santiago. ”

Lopez tidak sendirian dalam perlombaan menuju landmark bug bounty ini.

Beberapa hari setelah Lopez melampauinya US$ 1 juta dalam penghargaan bounty, Mark Litchfield - juga dikenal dengan pegangannya @mlitchfield - bergabung dengan jajaran klub peretas bug bounty jutaan dolar. Pada tahun 2016, Litchfield membuat sejarah sebagai peretas pertama yang menghasilkan uang US$ 500,000 dalam bentuk bug bounties. Hingga saat ini, Litchfield telah membantu organisasi termasuk New Relic, Dropbox, Venmo, Yelp, Rockstar Games, Shopify dan Starbucks menyelesaikan lebih dari 900 kelemahan keamanan.

Untuk informasi lebih lanjut tentang perjalanan Santiago Lopez menjadi peretas berpenghasilan tertinggi di HackerOne, baca Tanya Jawab terbaru bersamanya di sini. Untuk terlibat dan mulai meretas, HackerOne sekarang menawarkan Hacker101- kumpulan video, sumber daya, dan aktivitas langsung gratis yang akan mengajarkan semua yang diperlukan untuk beroperasi sebagai pemburu bug bounty. Untuk bergabung dengan komunitas peretas terbesar di dunia yang, pada tahun 2018 saja, menghasilkan lebih dari US$ 19 juta dalam bentuk hadiah atas kontribusinya, daftar ke HackerOne sini.

Santiago Lopez, HackerOne peretas etis
Santiago Lopez

Tanya Jawab dengan Santiago Lopez

Kutipan: @try_to_hack Argentina berusia 19 tahun baru saja membuat sejarah sebagai orang pertama yang mendapatkan lebih dari $ 1,000,000 dalam penghargaan bounty di HackerOne. Kami terhubung dengannya untuk mempelajari lebih lanjut tentang bagaimana dia mencapai pencapaian yang mengesankan ini. Kami harap Anda terinspirasi seperti kami! @Try_to_hack Argentina berusia 19 tahun baru saja membuat sejarah sebagai orang pertama yang memperoleh lebih dari US $ 1,000,000 dalam penghargaan bounty di HackerOne. Sejak bergabung dengan HackerOne pada tahun 2015, Santiago telah melaporkan lebih dari 1,670 kerentanan unik yang valid ke perusahaan seperti Verizon Media Company, Twitter, WordPress, Automattic, dan HackerOne, serta program pribadi. Dia secara konsisten menduduki puncak papan peringkat HackerOne, dengan persentil ke-91 untuk sinyal, persentil ke-84 untuk dampak, ke-2 secara keseluruhan di platform, dan lebih dari 37,000+ reputasi!

Sebagai peretas otodidak, terutama menggunakan blog dan YouTube untuk mengembangkan keahliannya, Santiago menunjukkan kepada kita semua bahwa belajar meretas tidak hanya dilakukan di ruang kelas tradisional.

Kami sangat senang untuk Santiago dan berterima kasih atas lebih dari 1,670 kerentanan yang dia laporkan yang sekarang telah diselesaikan. Kami terhubung dengannya untuk mempelajari lebih lanjut tentang bagaimana dia mencapai pencapaian yang mengesankan ini. Kami berharap Anda sama terinspirasi seperti kami!

T: Bagaimana rasanya menjadi hacker bug bounty jutaan dolar pertama?
SL: Saya tidak memiliki cukup kata-kata untuk menggambarkan betapa bahagianya saya menjadi peretas pertama yang mencapai tonggak ini. Saya sangat bangga melihat bahwa pekerjaan saya diakui dan dihargai. Bukan hanya untuk uang, tetapi karena pencapaian ini mewakili informasi bahwa perusahaan dan orang-orang menjadi lebih aman daripada sebelumnya, dan itu luar biasa.

T: Apa yang membuat Anda ingin menjadi seorang hacker?
SL: Saya selalu menyukai komputer dan pemrograman sejak saya masih kecil, tetapi saya tidak pernah tahu apa-apa tentang peretasan. Saya bahkan tidak tahu itu ada sampai saya melihat film "Hackers", yang membuka dunia baru bagi saya. Ketika saya belajar lebih banyak, saya menyadari bahwa saya secara alami tertarik pada jenis tantangan dan peluang pemecahan masalah yang terkait dengan peretasan. Yang terbaik adalah ketika saya menemukan adanya program bug bounty seperti HackerOne. Itu memungkinkan saya melakukan apa yang saya suka, menghasilkan uang kapan pun saya mau, di mana pun saya mau, dan pada saat yang sama membuat dunia sedikit lebih aman. Itu luar biasa!

T: Bagaimana Anda belajar meretas dan kapan Anda mulai?
SL: Tahun 2015, saat saya berumur 16 tahun. Saya sepenuhnya otodidak. Saya belajar meretas berkat Internet. Saya menonton tutorial online dan juga membaca banyak tentang peretasan. Beginilah cara saya menjadi peretas seperti sekarang ini. Butuh waktu lama bagi saya untuk menemukan kerentanan pertama saya, tetapi dengan kesabaran dan usaha, pasti bisa tercapai.

T: Bagaimana Anda menemukan program bug bounty?
SL: Di Internet dan HackerOne.

T: Jenis bug dan program apa yang paling Anda minati?
SL: Saya sangat tertarik dengan program yang membayar. Saya kurang peduli tentang apakah mereka pribadi atau publik, dan lebih peduli tentang ruang lingkup program bug bounty. Yang paling menarik bagi saya ketika mencari bug adalah menemukan bug sebanyak yang saya bisa dalam waktu singkat dan mencoba mendapatkan hadiah hadiah yang bagus untuk mereka. Saya tahu mereka mengatakan kualitas sebelum kuantitas, tetapi kuantitas adalah yang saya suka.

T: Kapan Anda mendapatkan bounty pertama Anda dan untuk jenis bug apa?
SL: Pembayaran bounty pertama saya adalah $ 50 untuk CSRF yang saya temukan pada tahun 2016 ketika saya berusia 17 tahun. Saat itu saya tidak terlalu tertarik dengan besarnya bounty tersebut. Saya sangat senang dan bersemangat untuk mendapatkan hadiah pertama saya sendiri.

T: Apa bounty terbesar yang Anda peroleh dan untuk apa?
SL: US $ 9K untuk SSRF dalam program pribadi.

T: Apa hal pertama yang Anda beli dengan uang bug bounty?
SL: Komputer baru. Komputer saya sudah tua dan saya tahu bahwa komputer yang lebih cepat akan membantu saya membuat peretasan lebih cepat dan lebih efisien.

T: Kapan Anda paling suka meretas, jam berapa?
SL: Sedikit sore dan sore, tapi sebaiknya malam. Saya melihat peretasan sebagai pekerjaan biasa, jadi saya cenderung meretas antara 6 hingga 7 jam per hari.

T: Apa jenis kerentanan favorit Anda untuk ditemukan dan mengapa?
SL: IDOR [atau Referensi Objek Langsung Tidak Aman]. Ini adalah kerentanan yang sangat mudah saya temukan dan program bug bounty yang lebih besar sering kali membayar dengan baik untuk mereka.

T: Nama pengguna Anda adalah "coba retas" - bagaimana Anda mendapatkan nama itu? Sebagai peretas jutaan dolar pertama, mungkin sekarang Anda bisa menjadi "Saya meretas" 🙂
SL: Pada awalnya, tujuan saya adalah mencoba meretas perusahaan tetapi saya tidak begitu yakin akan berhasil. Itulah mengapa "try_to_hack" tampak seperti nama yang sangat bagus pada saat itu. Namun, saya tetap menyukainya dan saya tidak akan mengubahnya karena itu mengingatkan saya pada bagaimana saya pertama kali memulai.

T: Seperti apa komunitas peretas di Argentina? Apakah teman Anda juga peretas? Apakah Anda meretas dengan orang lain?
SL: Sayangnya, saya belum sempat bertemu dengan hacker lain di Argentina tapi saya yakin ada banyak. Tidak ada teman saya yang peretas. Saya suka meretas sendiri. Saya tertarik bersosialisasi dengan peretas lain untuk bertukar pengetahuan tetapi menemukan bug sendiri cukup mengasyikkan.

T: Apakah Anda berencana untuk terus meretas dengan program bug bounty?
SL: Saya yakin saya akan melanjutkan hacking dengan program bug bounty. Itu adalah salah satu hal paling menarik yang saya temukan dalam hidup saya. Saya yakin siapa pun yang menemukan program bug bounty akan segera menyadari bahwa program ini membuka peluang baru bagi peretas dan perusahaan yang berkomitmen terhadap keamanan.

T: Apakah teman dan keluarga Anda tahu bahwa Anda adalah seorang peretas? Bagaimana reaksi orang-orang ketika Anda memberi tahu mereka bahwa Anda adalah seorang peretas - dan salah satu yang terbaik di dunia dalam hal itu?
SL: Ya, teman dan keluarga saya tahu bahwa saya adalah seorang hacker. Pertama kali saya memberi tahu mereka, mereka tidak dapat mempercayainya. Mereka memandang peretas sebagai orang jahat yang merampok orang. Mereka tidak menyangka bahwa seorang hacker bisa menjadi baik dan menghasilkan uang secara legal. Setelah menghabiskan banyak waktu untuk menjelaskan hal ini kepada teman dan keluarga saya, mereka akhirnya mulai mempercayainya dan sangat bahagia atas kesuksesan saya.

T: Ada lagi yang ingin Anda tambahkan?
SL: Saya ingin berterima kasih kepada HackerOne yang telah merayakan pencapaian saya, saya sangat menghargainya. Semoga lebih banyak hadiah akan datang. HackerOne adalah platform bug bounty terbaik tanpa keraguan, dan peretas / perusahaan mana pun harus menggunakannya, dan saya yakin tidak akan ada penyesalan 🙂

Tentang HackerOne
HackerOne adalah # 1 platform keamanan bertenaga peretas, membantu organisasi menemukan dan memperbaiki kerentanan kritis sebelum dapat dieksploitasi. Lebih banyak perusahaan Fortune 500 dan Forbes Global 1000 mempercayai HackerOne daripada alternatif keamanan yang didukung peretas lainnya. Departemen Pertahanan AS, Hyatt, General Motors, Google, Twitter, GitHub, Nintendo, Lufthansa, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, Pusat Koordinasi CERT dan lebih dari 1,200 organisasi lain telah bermitra dengan HackerOne untuk menemukan lebih dari 100,000 kerentanan dan berikan lebih dari US $ 43 juta karunia bug. HackerOne berkantor pusat di San Francisco dengan kantor di London, New York, Belanda, dan Singapura.

# # #