опубликовано

Сингапур, @mcgallen #microwireinfo, 4 марта 2019 г. - HackerOne, ведущая платформа безопасности на базе хакеров, объявила сегодня, что bug bounty hacker @try_to_hack стала первой, кто превысил 1 миллион долларов США в виде наград за помощь компаниям в повышении безопасности.

Награда за ошибку - это награда, которая присуждается хакеру, который сообщает организации о действительной уязвимости системы безопасности. Сантьяго Лопес начал сообщать компаниям о слабых сторонах безопасности в рамках программ вознаграждения за ошибки в 2015 году на сайте HackerOne. Лопес, известный под ником @try_to_hack, сообщил компаниям, включая Twitter, более 1,600 недостатков в системе безопасности. и Verizon Media Company, а также частные корпоративные и государственные инициативы.

У меня не хватает слов, чтобы описать, как я счастлив стать первым хакером, достигшим этой вехи », - сказал Лопес. «Я невероятно горжусь тем, что мою работу признают и ценят. Для меня это достижение означает, что компании и люди, которые им доверяют, становятся более безопасными, чем были раньше, и это невероятно. Это то, что мотивирует меня продолжать подталкивать себя и вдохновляет меня вывести свой взлом на новый уровень ».

Лопес занимает первое место в таблице лидеров HackerOne за все время из более чем трехсот тридцати тысяч хакеров, борющихся за первое место. Хакерам предлагается найти слабые места в более чем 1,200 технологических компаниях, правительствах и предприятиях, которые полагаются на хакерское сообщество HackerOne, чтобы безопасно сообщать об уязвимостях безопасности, прежде чем они могут быть использованы преступниками. Его специальность - обнаружение уязвимостей Insecure Direct Object Reference (IDOR).

Как и многие хакеры, Лопес самоучка. Впервые он был вдохновлен начать работу после просмотра фильма. Хакеры и научились взламывать, просматривая бесплатные онлайн-руководства и читая популярные блоги. В 2015 году, когда ему исполнилось 16 лет, он подписался на HackerOne и получил свою первую награду в размере US50 месяцев спустя. Он выбрал псевдоним «try_to_hack», чтобы сохранить мотивацию - он был полон решимости попытаться взломать компании, независимо от того, знал ли он, что сможет добиться успеха. Он сохранил это имя сегодня, чтобы напоминать ему о том, как он начинал как хакер по поиску ошибок. OЗа последние три года хакерства после школы, а теперь и на полную ставку, он зарабатывал почти в сорок раз больше, чем средняя зарплата инженера-программиста в Буэнос-Айресе только благодаря вознаграждению за ошибки.

Все сообщество HackerOne трепещет перед работой Сантьяго, - сказал генеральный директор HackerOne Мартен Микос. «Любопытный, самоучка и творческий подход, Сантьяго является образцом для подражания для сотен тысяч начинающих хакеров по всему миру. Сообщество хакеров - это самая мощная защита от киберпреступности. Это фантастическая веха для Сантьяго, но еще более значительными являются улучшения в области безопасности, которых компании достигли и продолжают достигать благодаря неустанной работе Сантьяго ».

Лопес был не одинок в гонке к этой выдающейся награде.

Дни после того, как Лопес превзошел USМарк Литчфилд, также известный под псевдонимом @mlitchfield, получил награду в размере 1 миллиона долларов и вступил в ряды хакерского клуба bug bounty за миллион долларов. В 2016 году Личфилд вошел в историю как первый хакер, заработавший более US$ 500,000 900 в виде вознаграждения за устранение ошибок. На сегодняшний день Litchfield помог организациям, включая New Relic, Dropbox, Venmo, Yelp, Rockstar Games, Shopify и Starbucks, устранить более XNUMX слабых мест в системе безопасности.

Чтобы узнать больше о пути Сантьяго Лопеса к тому, чтобы стать хакером с самым высоким доходом на HackerOne, прочитайте его последние вопросы и ответы здесь. Чтобы принять участие и начать взламывать, HackerOne теперь предлагает Hacker101- бесплатная коллекция видео, ресурсов и практических занятий, которые научат всему необходимому для работы в качестве охотника за головами. Присоединиться к крупнейшему в мире хакерскому сообществу, которое только в 2018 году заработало более US$ 19 млн в виде баунти за их вклад, подпишитесь на HackerOne здесь.

Сантьяго Лопес, этичный хакер HackerOne
Сантьяго Лопес

Вопросы и ответы с Сантьяго Лопесом

Отрывок: 19-летний аргентинец @try_to_hack только что вошел в историю как первый, кто заработал более 1,000,000 долларов в виде наград на HackerOne. Мы связываемся с ним, чтобы узнать больше о том, как он достиг этого впечатляющего рубежа. Надеемся, вы так же вдохновлены, как и мы! 19-летний аргентинец @try_to_hack только что вошел в историю как первый, кто заработал более 1,000,000 долларов США в виде наград на HackerOne. С момента присоединения к HackerOne в 2015 году Сантьяго сообщил о более чем 1,670 действительных уникальных уязвимостях для таких компаний, как Verizon Media Company, Twitter, WordPress, Automattic и HackerOne, а также для частных программ. Он неизменно возглавляет таблицу лидеров HackerOne, имея 91-й процентиль по сигналу, 84-й процентиль по влиянию, 2-е место в рейтинге на платформе и более 37,000 репутации!

Как хакер-самоучка, в основном использующий блоги и YouTube для расширения своих навыков, Сантьяго показывает нам всем, что обучение хакерскому делу не предназначено для традиционных занятий.

Мы очень рады за Сантьяго и благодарны за более чем 1,670 уязвимостей, о которых он сообщил, и которые теперь устранены. Мы связались с ним, чтобы узнать больше о том, как он достиг этого впечатляющего рубежа. Мы надеемся, что вы так же вдохновлены, как и мы!

В: Что вы чувствуете, будучи первым хакером, получившим миллион долларов?
SL: У меня не хватает слов, чтобы описать, как я счастлив стать первым хакером, достигшим этой вехи. Я невероятно горжусь тем, что мою работу признают и ценят. Не только из-за денег, но и потому, что это достижение представляет собой информацию о компаниях и людях, которые находятся в большей безопасности, чем они были раньше, и это невероятно.

В: Что побудило вас стать хакером?
СЛ: Мне всегда нравились компьютеры и программирование, еще с детства, но я ничего не знал о хакерстве. Я даже не подозревал о его существовании, пока не посмотрел фильм «Хакеры», который открыл для меня совершенно новый мир. По мере того, как я узнал больше, я понял, что меня естественно привлекали типы проблем и возможности решения проблем, связанные со взломом. Лучше всего было, когда я обнаружил существование таких программ, как HackerOne. Это позволило мне делать то, что мне нравится, зарабатывать деньги, когда я хотел, где я хотел, и в то же время делал мир немного безопаснее. Это было невероятно!

В: Как вы научились взламывать и когда начали?
SL: В 2015 году, когда мне было 16. Я полностью самоучка. Я научился взламывать благодаря Интернету. Я смотрел онлайн-уроки, а также много читал о взломе. Так я стал хакером, которым являюсь сегодня. Мне потребовалось много времени, чтобы найти свою первую уязвимость, но с терпением и усилиями ее определенно можно достичь.

В: Как вы узнали о программах вознаграждения за ошибки?
SL: В Интернете и на HackerOne.

В: Какие типы ошибок и программы вас больше всего интересуют?
SL: Меня больше всего интересуют платные программы. Меня меньше беспокоит, являются ли они частными или общедоступными, и меня больше волнует объем программы вознаграждения за ошибки. Что меня больше всего интересует при поиске ошибок, так это найти как можно больше ошибок за короткий период времени и попытаться заработать за них хорошие награды. Я знаю, что они говорят о качестве, а не о количестве, но мне нравится количество.

В: Когда вы получили свою первую награду и за какую ошибку?
SL: Моя первая выплата вознаграждения составила 50 долларов для CSRF, которую я нашел еще в 2016 году, когда мне было 17. В то время меня не очень интересовал размер вознаграждения. Я был так счастлив и взволнован тем, что получил свою первую награду самостоятельно.

В: Какую самую большую награду вы заработали и для чего она была?
SL: 9 тысяч долларов США за SSRF в частной программе.

В: Что вы купили в первую очередь на деньги, выплаченные за вознаграждение за обнаружение ошибок?
SL: Новый компьютер. Мой компьютер был старым, и я знал, что более быстрый компьютер поможет мне сделать взлом намного быстрее и эффективнее.

В: Когда вы больше всего любите взламывать, в какое время суток?
СЛ: Немного днем ​​и вечером, но лучше ночью. Я рассматриваю взлом как обычную работу, поэтому обычно занимаюсь хакингом от 6 до 7 часов в день.

В: Какой тип уязвимости вам больше всего нравится искать и почему?
SL: IDOR [или небезопасная прямая ссылка на объект]. Это уязвимость, которую мне очень легко найти, и более крупные программы bug bounty часто хорошо за них платят.

В: Ваше имя пользователя «попробуйте взломать» - как вы пришли к такому имени? Как первый хакер на миллион долларов, возможно, теперь вы сможете стать «я хакер» 🙂
SL: Вначале моей целью было взломать компании, но я не был уверен, что добьюсь успеха. Вот почему «try_to_hack» в тот момент показалось мне очень удачным именем. Однако он мне все еще нравится, и я не буду его менять, потому что он напоминает мне о том, как я начал.

В: Каково хакерское сообщество в Аргентине? Ваши друзья тоже хакеры? Вы общаетесь с другими людьми?
SL: К сожалению, у меня не было возможности встретиться с другими хакерами в Аргентине, но я уверен, что их много. Никто из моих друзей не хакер. Я люблю взламывать самостоятельно. Я заинтересован в общении с другими хакерами для обмена знаниями, но самостоятельно находить ошибки довольно увлекательно.

В: Планируете ли вы и дальше взламывать программы bug bounty?
SL: Я уверен, что продолжу взламывать программы bug bounty. Это одна из самых интересных вещей, которые я открыл в своей жизни. Я уверен, что любой, кто обнаружит программы bug bounty, скоро тоже поймет, что это открывает новые возможности как для хакеров, так и для компаний, приверженных безопасности.

В: Знают ли ваши друзья и семья, что вы хакер? Как люди реагируют, когда вы говорите им, что вы хакер, причем один из лучших в мире?
SL: Да, мои друзья и семья знают, что я хакер. Когда я впервые сказал им, они не могли поверить в это. Они считали хакера плохим человеком, который грабит людей. Они не думали, что хакер может быть хорошим и легально зарабатывать деньги. Потратив много времени, объясняя это моим друзьям и семье, они наконец начали верить в это и были очень счастливы за мой успех.

Q: Что еще вы хотите добавить?
SL: Я хочу поблагодарить HackerOne за празднование моего достижения, я очень ценю это. Надеюсь, будет больше наград. HackerOne, без сомнения, лучшая платформа для выявления ошибок, и любой хакер / компания должны ее использовать, и я уверен, что сожалений не будет 🙂

О HackerOne
HackerOne - номер 1 платформа безопасности на базе хакеров, помогая организациям находить и устранять критические уязвимости до того, как ими можно будет воспользоваться. HackerOne доверяют больше компаний из рейтингов Fortune 500 и Forbes Global 1000, чем любой другой хакерской альтернативе безопасности. Министерство обороны США, Hyatt, General Motors, Google, Twitter, GitHub, Nintendo, Lufthansa, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, Координационный центр CERT и более 1,200 других организаций объединились с HackerOne, чтобы найти более 100,000 43 уязвимостей. и наградить более XNUMX миллионов долларов США в баги. Штаб-квартира HackerOne находится в Сан-Франциско, а офисы - в Лондоне, Нью-Йорке, Нидерландах и Сингапуре.

###