โพสต์

สิงคโปร์, @mcgallen #microwireข้อมูล 4 มีนาคม 2019 - HackerOneซึ่งเป็นแพลตฟอร์มการรักษาความปลอดภัยชั้นนำที่ขับเคลื่อนโดยแฮ็กเกอร์ประกาศในวันนี้ว่าแฮ็กเกอร์บั๊ก bounty @try_to_hack เป็นรายแรกที่ได้รับรางวัลค่าหัวเกิน 1 ล้านดอลลาร์สหรัฐเพื่อช่วยให้ บริษัท ต่างๆปลอดภัย

รางวัลบั๊กคือรางวัลที่มอบให้กับแฮ็กเกอร์ที่รายงานจุดอ่อนด้านความปลอดภัยที่ถูกต้องให้กับองค์กร Santiago Lopez เริ่มรายงานจุดอ่อนด้านความปลอดภัยให้กับ บริษัท ต่างๆผ่านโปรแกรม Bug Bounty ในปี 2015 บน HackerOne Lopez ซึ่งเป็นผู้ดำเนินการจัดการ @try_to_hack ได้รายงานข้อบกพร่องด้านความปลอดภัยมากกว่า 1,600 ข้อให้กับ บริษัท ต่างๆรวมถึง Twitter และ บริษัท Verizon Media ตลอดจนโครงการขององค์กรเอกชนและรัฐบาล

"ฉันไม่มีคำพูดเพียงพอที่จะอธิบายว่าฉันมีความสุขแค่ไหนที่ได้เป็นแฮ็กเกอร์คนแรกที่มาถึงจุดสังเกตนี้” โลเปซกล่าว “ ฉันภูมิใจอย่างเหลือเชื่อที่เห็นว่างานของฉันได้รับการยอมรับและมีมูลค่า สำหรับฉันแล้วความสำเร็จนี้แสดงให้เห็นว่า บริษัท และผู้คนที่ไว้วางใจพวกเขามีความปลอดภัยมากขึ้นกว่าที่เคยเป็นมาและนั่นเป็นเรื่องที่เหลือเชื่อ นี่คือสิ่งที่กระตุ้นให้ฉันผลักดันตัวเองต่อไปและเป็นแรงบันดาลใจให้ฉันแฮ็คไปอีกระดับ”

Lopez เป็นแฮ็กเกอร์ที่ติดอันดับสูงสุดตลอดกาลบนลีดเดอร์บอร์ดของ HackerOne จากแฮกเกอร์มากกว่าสามแสนสามหมื่นคนที่แข่งขันกันเพื่อจุดสูงสุด แฮกเกอร์ได้รับเชิญให้ค้นหาจุดอ่อนใน บริษัท เทคโนโลยีรัฐบาลและองค์กรต่างๆกว่า 1,200 แห่งที่อาศัยชุมชนแฮ็กเกอร์ของ HackerOne เพื่อรายงานช่องโหว่ด้านความปลอดภัยอย่างปลอดภัยก่อนที่อาชญากรจะสามารถใช้ประโยชน์ได้ ความพิเศษของเขาคือการค้นหาช่องโหว่ Insecure Direct Object Reference (IDOR)

เช่นเดียวกับแฮกเกอร์หลาย ๆ คน Lopez เป็นคนสอนตัวเอง เขาได้รับแรงบันดาลใจครั้งแรกในการเริ่มต้นหลังจากดูภาพยนตร์ แฮกเกอร์ และเรียนรู้การแฮ็กโดยดูบทเรียนออนไลน์ฟรีและอ่านบล็อกยอดนิยม ในปี 2015 ตอนอายุ 16 ปีเขาลงทะเบียนกับ HackerOne และได้รับค่าหัวครั้งแรกจาก US$ 50 เดือนต่อมา เขาเลือกใช้นามแฝงว่า“ try_to_hack” เพื่อสร้างแรงบันดาลใจให้กับตัวเอง - เขามุ่งมั่นที่จะพยายามแฮ็ค บริษัท ต่างๆไม่ว่าเขาจะรู้ว่าจะประสบความสำเร็จได้หรือไม่ วันนี้เขาคงชื่อไว้เพื่อเตือนความจำว่าเขาเริ่มเป็นแฮ็กเกอร์บั๊กได้อย่างไร โอในช่วงสามปีที่ผ่านมาของการแฮ็กหลังเลิกเรียนและตอนนี้ทำงานเต็มเวลาเขาได้รับเงินเดือนวิศวกรซอฟต์แวร์โดยเฉลี่ยในบัวโนสไอเรสเกือบสี่สิบเท่าจากค่าหัวเพียงอย่างเดียว

"ชุมชน HackerOne ทั้งหมดตั้งหน้าตั้งตาทำงานของ Santiago” Marten Mickos CEO ของ HackerOne กล่าว “ ซานติอาโกผู้มีความอยากรู้อยากเห็นเรียนรู้ด้วยตัวเองและมีความคิดสร้างสรรค์เป็นแบบอย่างของแฮกเกอร์ที่มีความต้องการมากมายทั่วโลก ชุมชนแฮ็กเกอร์คือการป้องกันที่ทรงพลังที่สุดที่เรามีต่ออาชญากรรมทางไซเบอร์ นี่เป็นความสำเร็จที่ยิ่งใหญ่สำหรับซานติอาโก แต่สิ่งที่ยิ่งใหญ่กว่านั้นคือการปรับปรุงด้านความปลอดภัยที่ บริษัท ต่างๆประสบความสำเร็จและประสบความสำเร็จอย่างต่อเนื่องจากการทำงานอย่างไม่หยุดยั้งของซันติอาโก”

โลเปซไม่ได้อยู่คนเดียวในการแข่งขันเพื่อไปสู่จุดสังเกตค่าหัวนี้

หลายวันหลังจากที่โลเปซเหนือกว่า USMark Litchfield ได้รับรางวัลมูลค่า 1 ล้านเหรียญหรือที่รู้จักกันในชื่อ @mlitchfield ซึ่งเป็นที่รู้จักของเขาได้เข้าร่วมในกลุ่มแฮ็กเกอร์บั๊กมูลค่าล้านดอลลาร์ ในปี 2016 Litchfield สร้างประวัติศาสตร์ในฐานะแฮ็กเกอร์รายแรกที่ทำรายได้ USรางวัลบั๊ก 500,000 ดอลลาร์ จนถึงปัจจุบัน Litchfield ได้ช่วยองค์กรต่างๆเช่น New Relic, Dropbox, Venmo, Yelp, Rockstar Games, Shopify และ Starbucks ในการแก้ไขจุดอ่อนด้านความปลอดภัยมากกว่า 900 รายการ

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับเส้นทางของ Santiago Lopez ในการเป็นแฮ็กเกอร์ที่มีรายได้สูงสุดใน HackerOne โปรดอ่านคำถามและคำตอบล่าสุดกับเขาที่นี่ ในการมีส่วนร่วมและเริ่มต้นการแฮ็ก HackerOne กำลังนำเสนอ Hacker101- คอลเลกชันวิดีโอแหล่งข้อมูลและกิจกรรมเชิงปฏิบัติฟรีที่จะสอนทุกสิ่งที่จำเป็นในการทำงานในฐานะนักล่าเงินรางวัลบั๊ก เพื่อเข้าร่วมชุมชนแฮ็กเกอร์ที่ใหญ่ที่สุดในโลกซึ่งในปี 2018 คนเดียวมีรายได้มากกว่า USรางวัลมูลค่า $ 19M สำหรับผลงานของพวกเขาลงทะเบียน HackerOne โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม.

Santiago Lopez แฮ็กเกอร์ที่มีจริยธรรมของ HackerOne
ซันติอาโกโลเปซ

ถาม - ตอบกับ Santiago Lopez

ข้อความที่ตัดตอนมา: @try_to_hack ชาวอาร์เจนไตน์วัย 19 ปีเพิ่งสร้างประวัติศาสตร์เป็นคนแรกที่ได้รับรางวัลมากมายใน HackerOne มากกว่า 1,000,000 เหรียญ เราติดต่อกับเขาเพื่อเรียนรู้เพิ่มเติมว่าเขาบรรลุเป้าหมายที่น่าประทับใจนี้ได้อย่างไร เราหวังว่าคุณจะได้รับแรงบันดาลใจเช่นเดียวกับเรา! @try_to_hack ชาวอาร์เจนไตน์วัย 19 ปีเพิ่งสร้างประวัติศาสตร์เป็นคนแรกที่ได้รับรางวัลมากมายจาก HackerOne มากกว่า 1,000,000 ดอลลาร์สหรัฐ นับตั้งแต่เข้าร่วม HackerOne ในปี 2015 Santiago ได้รายงานช่องโหว่เฉพาะที่ถูกต้องกว่า 1,670 รายการให้กับ บริษัท ต่างๆเช่น Verizon Media Company, Twitter, WordPress, Automattic และ HackerOne รวมถึงโปรแกรมส่วนตัว เขาครองอันดับหนึ่งของกระดานผู้นำ HackerOne อย่างต่อเนื่องโดยมีเปอร์เซ็นไทล์ที่ 91 สำหรับสัญญาณ, เปอร์เซ็นต์ไทล์ที่ 84 สำหรับผลกระทบ, อันดับ 2 โดยรวมบนแพลตฟอร์มและชื่อเสียงมากกว่า 37,000+!

ในฐานะแฮ็กเกอร์ที่เรียนรู้ด้วยตนเองโดยใช้บล็อกและ YouTube เป็นหลักเพื่อขยายทักษะของเขาซันติอาโกแสดงให้เราเห็นว่าการเรียนรู้ที่จะแฮ็กไม่ได้สงวนไว้สำหรับห้องเรียนแบบเดิม

เราตื่นเต้นกับ Santiago และขอบคุณสำหรับช่องโหว่มากกว่า 1,670 รายการที่เขารายงานว่าได้รับการแก้ไขแล้ว เราติดต่อกับเขาเพื่อเรียนรู้เพิ่มเติมเกี่ยวกับวิธีที่เขาบรรลุเป้าหมายที่น่าประทับใจนี้ เราหวังว่าคุณจะได้รับแรงบันดาลใจเช่นเดียวกับเรา!

ถาม: รู้สึกอย่างไรที่ได้เป็นแฮ็กเกอร์บั๊กเงินรางวัลล้านดอลลาร์รายแรก
SL: ฉันไม่มีคำพูดเพียงพอที่จะอธิบายว่าฉันมีความสุขแค่ไหนที่ได้เป็นแฮ็กเกอร์คนแรกที่มาถึงจุดสังเกตนี้ ฉันภูมิใจอย่างมากที่เห็นว่างานของฉันได้รับการยอมรับและมีคุณค่า ไม่ใช่แค่เพื่อเงินเท่านั้น แต่เป็นเพราะความสำเร็จนี้แสดงให้เห็นถึงข้อมูลของ บริษัท และผู้คนที่ปลอดภัยมากกว่าที่เคยเป็นมาและนั่นเป็นเรื่องเหลือเชื่อ

ถาม: อะไรทำให้คุณอยากเป็นแฮ็กเกอร์
SL: ฉันชอบคอมพิวเตอร์และการเขียนโปรแกรมมาโดยตลอดตั้งแต่ฉันยังเป็นเด็ก แต่ฉันไม่เคยรู้อะไรเกี่ยวกับการแฮ็กเลย ฉันไม่รู้ด้วยซ้ำว่ามีอยู่จริงจนกระทั่งได้ดูภาพยนตร์เรื่อง“ แฮ็กเกอร์” ซึ่งเปิดโลกใบใหม่ให้ฉัน เมื่อฉันได้เรียนรู้มากขึ้นฉันก็ตระหนักว่าโดยธรรมชาติแล้วฉันถูกดึงดูดเข้าหาประเภทของความท้าทายและโอกาสในการแก้ปัญหาที่เกี่ยวข้องกับการแฮ็ก สิ่งที่ดีที่สุดคือเมื่อฉันค้นพบการมีอยู่ของโปรแกรมรางวัลบั๊กเช่น HackerOne มันทำให้ฉันได้ทำในสิ่งที่ฉันชอบทำหารายได้เมื่อฉันต้องการที่ที่ฉันต้องการและในขณะเดียวกันก็ทำให้โลกปลอดภัยขึ้นเล็กน้อย มันเหลือเชื่อมาก!

ถาม: คุณเรียนรู้การแฮ็คได้อย่างไรและคุณเริ่มต้นเมื่อใด
SL: ในปี 2015 ตอนที่ฉันอายุ 16 ฉันเรียนรู้ด้วยตัวเองอย่างสมบูรณ์ ฉันเรียนรู้ที่จะแฮ็คด้วยอินเทอร์เน็ต ฉันดูบทเรียนออนไลน์และอ่านข้อมูลมากมายเกี่ยวกับการแฮ็ก นี่คือวิธีที่ฉันกลายเป็นแฮ็กเกอร์อย่างที่ฉันเป็นทุกวันนี้ ฉันใช้เวลานานในการค้นหาช่องโหว่แรกของตัวเอง แต่ด้วยความอดทนและความพยายามมันสามารถทำได้

ถาม: คุณพบโปรแกรมเงินรางวัลบั๊กได้อย่างไร
SL: บนอินเทอร์เน็ตและ HackerOne

ถาม: บั๊กและโปรแกรมประเภทใดที่คุณสนใจมากที่สุด?
SL: ส่วนใหญ่ฉันสนใจโปรแกรมที่จ่ายเงิน ฉันไม่ค่อยสนใจว่าพวกเขาจะเป็นแบบส่วนตัวหรือสาธารณะและสนใจมากขึ้นเกี่ยวกับขอบเขตของโปรแกรมรางวัลบั๊ก สิ่งที่ฉันสนใจมากที่สุดเมื่อมองหาจุดบกพร่องคือการค้นหาจุดบกพร่องให้ได้มากที่สุดในช่วงเวลาสั้น ๆ และพยายามที่จะได้รับรางวัลมากมายสำหรับพวกเขา ฉันรู้ว่าพวกเขาพูดถึงคุณภาพก่อนปริมาณ แต่ปริมาณคือสิ่งที่ฉันชอบ

ถาม: คุณได้รับค่าหัวครั้งแรกเมื่อใดและสำหรับบั๊กประเภทใด
SL: การจ่ายเงินรางวัลครั้งแรกของฉันคือ $ 50 สำหรับ CSRF ที่ฉันพบในปี 2016 เมื่อฉันอายุ 17 ปีในตอนนั้นฉันไม่ได้สนใจขนาดของเงินรางวัลมากนัก ฉันมีความสุขและตื่นเต้นมากที่ได้รับรางวัลแรกด้วยตัวเอง

ถาม: รางวัลใหญ่ที่สุดที่คุณได้รับคืออะไรและมีไว้เพื่ออะไร?
SL: 9K ดอลลาร์สหรัฐสำหรับ SSRF ในโปรแกรมส่วนตัว

ถาม: อะไรคือสิ่งแรกที่คุณซื้อด้วยเงินรางวัลบั๊ก?
SL: คอมพิวเตอร์เครื่องใหม่ คอมพิวเตอร์ของฉันเก่าและฉันรู้ว่าคอมพิวเตอร์ที่เร็วขึ้นจะช่วยให้ฉันแฮ็คได้เร็วขึ้นและมีประสิทธิภาพมากขึ้น

ถาม: เวลาไหนที่คุณชอบแฮ็คเป็นส่วนใหญ่ช่วงไหนของวัน?
SL: ช่วงบ่ายและเย็นเล็กน้อย แต่ควรเป็นเวลากลางคืน ฉันเห็นว่าการแฮ็กเป็นงานปกติดังนั้นฉันมักจะแฮ็กระหว่าง 6 ถึง 7 ชั่วโมงต่อวัน

ถาม: ช่องโหว่ที่คุณชอบที่สุดคืออะไรและเพราะเหตุใด
SL: IDORs [หรือการอ้างอิงวัตถุโดยตรงที่ไม่ปลอดภัย] มันเป็นช่องโหว่ที่หาได้ง่ายมากสำหรับฉันและโปรแกรมบั๊กที่มีขนาดใหญ่กว่ามักจะจ่ายเงินให้กับพวกเขา

ถาม: ชื่อผู้ใช้ของคุณคือ "พยายามแฮ็ก" คุณคิดชื่อนี้ได้อย่างไร ในฐานะแฮ็กเกอร์ล้านดอลลาร์คนแรกบางทีตอนนี้คุณอาจเป็น "ฉันแฮ็ก" ก็ได้🙂
SL: ในตอนแรกเป้าหมายของฉันคือพยายามแฮ็ค บริษัท ต่างๆ แต่ฉันไม่แน่ใจว่าจะประสบความสำเร็จ นั่นเป็นเหตุผลว่าทำไม“ try_to_hack” จึงดูเหมือนเป็นชื่อที่ดีมากในขณะนั้น อย่างไรก็ตามฉันยังคงชอบและจะไม่เปลี่ยนเพราะมันทำให้ฉันนึกถึงวิธีที่ฉันเริ่มครั้งแรก

ถาม: ชุมชนแฮ็กเกอร์ในอาร์เจนตินาเป็นอย่างไร เพื่อนของคุณเป็นแฮกเกอร์ด้วยหรือไม่? คุณแฮ็คกับคนอื่นหรือไม่?
SL: น่าเสียดายที่ฉันไม่มีโอกาสได้พบกับแฮกเกอร์คนอื่น ๆ ในอาร์เจนตินา แต่ฉันแน่ใจว่ามีหลายคน ไม่มีเพื่อนของฉันเป็นแฮกเกอร์ ฉันชอบแฮ็คด้วยตัวเอง ฉันสนใจที่จะพบปะกับแฮกเกอร์คนอื่น ๆ เพื่อแลกเปลี่ยนความรู้ แต่การค้นหาจุดบกพร่องด้วยตัวเองนั้นค่อนข้างน่าตื่นเต้น

ถาม: คุณวางแผนที่จะทำการแฮ็กด้วยโปรแกรมบั๊กหรือไม่?
SL: ฉันแน่ใจว่าฉันจะแฮ็คโปรแกรมบั๊กต่อไป เป็นหนึ่งในสิ่งที่น่าสนใจที่สุดที่ฉันได้ค้นพบในชีวิต ฉันแน่ใจว่าใครก็ตามที่ค้นพบโปรแกรมรางวัลบั๊กในไม่ช้าก็จะตระหนักได้เช่นกันว่ามันเปิดโอกาสใหม่สำหรับทั้งแฮกเกอร์และ บริษัท ที่มุ่งมั่นในการรักษาความปลอดภัย

ถาม: เพื่อนและครอบครัวของคุณรู้หรือไม่ว่าคุณเป็นแฮ็กเกอร์ ผู้คนมีปฏิกิริยาอย่างไรเมื่อคุณบอกว่าคุณเป็นแฮ็กเกอร์และเป็นหนึ่งในคนที่ดีที่สุดในโลก
SL: ใช่เพื่อน ๆ และครอบครัวของฉันรู้ว่าฉันเป็นแฮ็กเกอร์ ครั้งแรกที่ฉันบอกพวกเขาพวกเขาไม่อยากจะเชื่อเลย พวกเขามองว่าแฮ็กเกอร์เป็นคนเลวที่ปล้นคน พวกเขาไม่คิดว่าเป็นไปได้ที่แฮ็กเกอร์จะเก่งและทำเงินได้อย่างถูกกฎหมาย หลังจากใช้เวลาอธิบายเรื่องนี้กับเพื่อนและครอบครัวของฉันเป็นเวลานานในที่สุดพวกเขาก็เริ่มเชื่อและดีใจมากกับความสำเร็จของฉัน

ถาม: คุณต้องการเพิ่มอะไรอีกไหม
SL: ฉันอยากจะขอบคุณ HackerOne สำหรับการเฉลิมฉลองความสำเร็จของฉันฉันรู้สึกซาบซึ้งจริงๆ หวังว่าจะได้รับรางวัลมากขึ้น HackerOne เป็นแพลตฟอร์มบั๊กที่ดีที่สุดอย่างไม่ต้องสงสัยและแฮ็กเกอร์ / บริษัท ใด ๆ ก็ควรใช้มันและฉันมั่นใจว่าจะไม่มีความเสียใจใด ๆ 🙂

เกี่ยวกับ HackerOne
HackerOne เป็นอันดับ 1 แพลตฟอร์มความปลอดภัยที่ขับเคลื่อนโดยแฮ็กเกอร์ช่วยให้องค์กรค้นหาและแก้ไขช่องโหว่ที่สำคัญก่อนที่จะถูกใช้ประโยชน์ บริษัท ที่ติดอันดับ Fortune 500 และ Forbes Global 1000 จำนวนมากให้ความไว้วางใจ HackerOne มากกว่าทางเลือกด้านความปลอดภัยอื่น ๆ ที่ใช้แฮ็กเกอร์ กระทรวงกลาโหมสหรัฐฯ, Hyatt, General Motors, Google, Twitter, GitHub, Nintendo, Lufthansa, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, ศูนย์ประสานงาน CERT และองค์กรอื่น ๆ อีกกว่า 1,200 แห่งได้ร่วมมือกับ HackerOne เพื่อค้นหาช่องโหว่กว่า 100,000 รายการ และมอบรางวัลมากกว่า 43 ล้านเหรียญสหรัฐใน รางวัลบั๊ก. HackerOne มีสำนักงานใหญ่ในซานฟรานซิสโกโดยมีสำนักงานอยู่ในลอนดอนนิวยอร์กเนเธอร์แลนด์และสิงคโปร์

# # #