アルゼンチンのティーンエイジャーがHackerOneで世界初の1万ドルのバグバウンティハッカーに

UnsplashのIrvan Smithによる写真

シンガポール、@ mcgallen#microwire情報、4年2019月XNUMX日– HackerOneハッカーを利用した主要なセキュリティプラットフォームであるは本日、バグバウンティハッカー@try_to_hackが、企業のセキュリティを強化するための賞金賞金で1万ドルを超えた最初の企業であると発表しました。

バグ報奨金とは、有効なセキュリティの弱点を組織に報告したハッカーに与えられる賞です。 サンティアゴロペスは、2015年にHackerOneのバグ報奨金プログラムを通じて企業にセキュリティの弱点を報告し始めました。 Lopez — @try_to_hackのハンドルを握る人— Twitterを含む企業に1,600以上のセキュリティ欠陥を報告した Verizon Media Company、 だけでなく、民間企業や政府の取り組み。

私はこのランドマークに到達する最初のハッカーになったことがどれほど幸せかを説明するのに十分な言葉がありません」とロペスは言いました。 「私の仕事が認められ、評価されたことを私は信じられないほど誇りに思っています。 私にとって、この成果は、企業とそれを信頼する人々が以前よりも安全になっていることを表しており、それは信じられないことです。 これが、私が自分自身をプッシュし続ける動機であり、ハッキングを次のレベルに引き上げようと私に刺激を与えています。」

Lopezは、HackerOneのリーダーボードで常に上位にランク付けされているハッカーで、トップスポットを争っている1,200万XNUMX万人を超えるハッカーの中でです。 ハッカーは、セキュリティの脆弱性が犯罪者に悪用される前に安全に報告するためにHackerOneのハッカーコミュニティに依存しているXNUMXを超えるテクノロジー企業、政府、企業の弱点を発見するよう求められています。 彼の専門は、Insecure Direct Object Reference(IDOR)の脆弱性を見つけることです。

多くのハッカーのように、ロペスは独学です。 映画を見た後、彼は最初に始めることに触発されました ハッカー また、無料のオンラインチュートリアルを見たり、人気のブログを読んだりして、ハッキングの方法を学びました。 2015年、16歳のときにHackerOneにサインアップし、最初の賞金を獲得しました。 US50か月後。 O放課後ハッキングの過去XNUMX年間、現在はフルタイムで、ブエノスアイレスでの平均的なソフトウェアエンジニアの給与は、バグの報奨金だけで約XNUMX倍に達しています。

HackerOneコミュニティ全体がSantiagoの仕事に畏敬の念を抱いています」とHackerOneのCEOであるMartenMickosは述べています。 「好奇心が強く、独学で創造的なサンティアゴは、世界中の何十万人もの意欲的なハッカーのロールモデルです。 The hacker community is the most powerful defense we have against cyber crime.ハッカーコミュニティは、サイバー犯罪に対する最も強力な防御策です。 This is a fantastic milestone for Santiago but still much greater are the improvements in security that companies have achieved and keep achieving thanks to Santiago's relentless work.”これはサンティアゴにとって素晴らしいマイルストーンですが、サンティアゴの執拗な取り組みのおかげで企業が達成し、達成し続けているセキュリティの向上はさらに大きなものです。」

ロペスは、このバグ報奨金ランドマークへの競争で一人ではありませんでした。

ロペスを超えた日 US賞金1万ドルのMark Litchfieldは、ハンドル@mlitchfieldでも知られていますが、2016万ドルのバグバウンティハッカークラブの仲間入りを果たしました。 XNUMX年、リッチフィールドは最初のハッカーとしての歴史を築きました US500,000ドルのバグ報奨金。 これまでに、リッチフィールドはNew Relic、Dropbox、Venmo、Yelp、Rockstar Games、Shopify、Starbucksなどの組織が900を超えるセキュリティの弱点を解決するのを支援してきました。

Santiago LopezがHackerOneで最高の収益を上げているハッカーになるまでの道のりについて詳しくは、彼との最新のQ&Aをここで読んでください。 参加してハッキングを開始するために、HackerOneは現在提供しています ハッカー101—バグ報奨金ハンターとしての活動に必要なすべてを教えるビデオ、リソース、および実践活動の無料コレクション。 2018年だけでも、それ以上の収入を得た世界最大のハッカーコミュニティに参加する US寄付に対して19万ドルの賞金を獲得するには、HackerOneに登録してください ここ.

サンティアゴロペス、HackerOne倫理的ハッカー
サンティアゴロペス

サンティアゴロペスとの質疑応答

抜粋:19歳のアルゼンチン人@try_to_hackは、HackerOneで1,000,000ドルを超える賞金を獲得した最初の人物として歴史を築きました。 彼がこの印象的なマイルストーンに到達した方法について詳しく知るために、私たちは彼とつながります。 あなたが私たちのように刺激を受けていることを願っています! 19歳のアルゼンチン人@try_to_hackは、HackerOneで1,000,000米ドルを超える賞金を獲得した最初の人物として歴史を築きました。 2015年にHackerOneに参加して以来、Santiagoは、Verizon Media Company、Twitter、WordPress、Automattic、HackerOneなどの企業、およびプライベートプログラムに、1,670を超える有効な固有の脆弱性を報告しています。 彼は一貫してHackerOneリーダーボードのトップであり、信号の91パーセンタイル、衝突の84パーセンタイル、プラットフォーム全体で2番目、37,000以上の評判を誇っています。

独学でハッカーとして、主にブログとYouTubeを使用してスキルを伸ばしているサンティアゴは、ハッキングの学習が従来の教室に限定されていないことをすべて示しています。

私たちはサンティアゴに興奮し、現在解決されている彼が報告した1,670を超える脆弱性に感謝しています。 私たちは彼と連絡を取り、彼がこの印象的なマイルストーンに到達した方法について詳しく学びました。 私たちはあなたが私たちと同じように刺激を受けていることを願っています!

Q:最初のXNUMX万ドルのバグ報奨金ハッカーになるとはどう思いますか?
SL:私はこのランドマークに到達した最初のハッカーになれたことをどれほど嬉しく思っているかを説明するのに十分な言葉がありません。 私の仕事が認められ、評価されたことを私は信じられないほど誇りに思っています。 お金のためだけでなく、この成果は企業や人々の情報が以前よりも安全であることを表しているので、それは信じられないことです。

Q:ハッカーになりたいと思ったきっかけは何ですか?
SL:子供の頃からずっとコンピューターとプログラミングが好きでしたが、ハッキングについては何も知りませんでした。 まったく新しい世界を切り開いた映画「ハッカーズ」を見るまで、その存在すら知りませんでした。 さらに学ぶと、ハッキングに関連する種類の課題や問題解決の機会に自然に惹かれることに気づきました。 最高だったのは、HackerOneなどのバグ報奨金プログラムの存在を発見したときでした。 それは私がやりたいことをすること、私がしたいときに、私がしたい場所でお金を稼ぐことを可能にし、同時に世界を少し安全にしました。 信じられない事でした!

Q:ハッキングの方法はどのように学び、いつ始めましたか?
SL:2015年、私は16歳でした。私は完全に独学です。 私はインターネットのおかげでハッキングすることを学びました。 私はオンラインチュートリアルを見たり、ハッキングについてもたくさん読んだ。 これが私が今日のハッカーになった理由です。 最初の脆弱性を見つけるのに長い時間がかかりましたが、忍耐と努力があれば、間違いなく達成できます。

Q:どのようにしてバグ報奨金プログラムを見つけましたか?
SL:インターネットとHackerOne。

Q:どの種類のバグとプログラムに最も関心がありますか?
SL:私は主に有料のプログラムに興味があります。 私はそれらが私的であるか公的であるかについてはあまり気にせず、バグ報奨金プログラムの範囲についてもっと気にします。 バグを探すときに私が最も興味を持っているのは、短期間でできるだけ多くのバグを見つけて、それらに対して良い報奨金を獲得しようとすることです。 彼らが量より質を言うことは知っていますが、量は私が好きなものです。

Q:最初の賞金を獲得したのはいつですか、またどのような種類のバグですか?
SL:50年に2016歳のときに見つけたCSRFに対する私の最初の賞金の支払いは17ドルでした。当時、私は賞金の規模にあまり興味がありませんでした。 私は自分自身で最初の報酬を得ることができてとても幸せで興奮していました。

Q:獲得した最大の賞金とは何ですか?
SL:プライベートプログラムのSSRFの場合、9ドル。

Q:バグ報奨金で最初に購入したものは何ですか?
SL:新しいコンピューター。 私のコンピューターは古く、より高速なコンピューターがハッキングをより速く効率的にするのに役立つことを知っていました。

Q:ほとんどの場合、いつハッキングしますか?
SL:午後と夕方に少し、できれば夜に。 私はハッキングを通常の仕事と見なしているため、6日あたり7〜XNUMX時間ハッキングする傾向があります。

Q:発見するのが好きな脆弱性のタイプは何ですか?なぜですか?
SL:IDOR [または安全でない直接オブジェクト参照]。 これは私にとって非常に簡単に見つけられる脆弱性であり、より大きなバグ報奨金プログラムはしばしば彼らに十分に支払います。

Q:ユーザー名は「ハッキングしてみてください」です。どのようにしてその名前を思いついたのですか? As the first million-dollar hacker, maybe now you can be “I hack” 🙂最初の百万ドルのハッカーとして、多分今あなたは「私はハックする」ことができます🙂
SL:当初、私の目標は企業をハッキングすることでしたが、成功するかどうかはわかりませんでした。 That's why “try_to_hack” seemed like a very good name at that moment.そのため、「try_to_hack」はその時点で非常に良い名前のように見えました。 However, I still like it and I will not change it because it reminds me of how I first started.しかし、私はまだそれが好きで、それは私が最初に始めた方法を思い出させるので、私はそれを変更しません。

Q:アルゼンチンのハッカーコミュニティはどのようなものですか? あなたの友達もハッカーですか? あなたは他の人とハッキングしますか?
SL:残念ながら、アルゼンチンで他のハッカーに会う機会はありませんでしたが、きっとたくさんいると思います。 私の友達は誰もハッカーではありません。 私は自分でハックするのが好きです。 他のハッカーと交流して知識を交換することに興味がありますが、自分でバグを見つけることは非常にエキサイティングです。

Q:バグ報奨金プログラムでハッキングを続けるつもりですか?
SL:バグバウンティプログラムでハッキングを続けると確信しています。 It is one of the most interesting things I have discovered in my life.それは私が私の人生で発見した最も興味深いもののXNUMXつです。 I'm sure that anyone who discovers bug bounty programs will soon too realize that it opens up new opportunities for both hackers and companies who are committed to security.バグバウンティプログラムを発見した人は誰でも、それがハッカーとセキュリティに取り組んでいる企業の両方に新しい機会を開くことにすぐに気付くと確信しています。

Q:あなたの友人や家族はあなたがハッカーであることを知っていますか? How do people react when you tell them you are a hacker — and one of the best in the world at that?あなたがハッカーであり、世界で最も優れたハッカーのXNUMX人であると言ったとき、人々はどのように反応しますか?
SL:はい、私の友人や家族は私がハッカーであることを知っています。 私が初めて彼らに言ったとき、彼らはそれを信じることができませんでした。 彼らはハッカーを人を奪った悪い人と見なしていました。 彼らは、ハッカーが善良で合法的にお金を稼ぐことができるとは考えていませんでした。 友人や家族にこれを説明するのに多くの時間を費やした後、彼らはついにそれを信じ始め、私の成功にとても満足しました。

Q:他に追加したいことはありますか?
SL:私の成果を祝ってくれたHackerOneに感謝したいと思います。本当に感謝しています。 HackerOneは間違いなく最高のバグ報奨金プラットフォームであり、ハッカー/企業はそれを使用する必要があり、後悔はないと確信しています🙂

HackerOneについて
HackerOneは#1です ハッカーを利用したセキュリティプラットフォーム、重要な脆弱性が悪用される前に、それらを見つけて修正するのに役立ちます。 Fortune 500およびForbes Global 1000の企業は、ハッカーを利用した他のどのセキュリティ代替製品よりもHackerOneを信頼しています。 米国国防総省、ハイアット、ゼネラルモーターズ、グーグル、ツイッター、GitHub、任天堂、ルフトハンザ、パナソニックアビオニクス、クアルコム、スターバックス、ドロップボックス、インテル、CERTコーディネーションセンター、およびその他の1,200以上の組織がHackerOneと提携し、100,000万件を超える脆弱性を発見しています43万ドル以上を授与 バグの報い。 HackerOneはサンフランシスコに本社を置き、ロンドン、ニューヨーク、オランダ、シンガポールにオフィスを構えています。

###