Đăng trên

Singapore, @mcgallen #microwirethông tin, ngày 4 tháng 2019 năm XNUMX - HackerOne, nền tảng bảo mật hàng đầu do hacker cung cấp, đã thông báo hôm nay rằng hacker bounty @try_to_hack là người đầu tiên vượt qua giải thưởng tiền thưởng 1 triệu đô la Mỹ vì đã giúp các công ty trở nên an toàn hơn.

Tiền thưởng lỗi là giải thưởng được trao cho một tin tặc báo cáo điểm yếu bảo mật hợp lệ cho tổ chức. Santiago Lopez bắt đầu báo cáo các điểm yếu bảo mật cho các công ty thông qua các chương trình tiền thưởng lỗi vào năm 2015 trên HackerOne. Lopez - người xử lý @try_to_hack - đã báo cáo hơn 1,600 lỗi bảo mật cho các công ty bao gồm cả Twitter và Công ty Truyền thông Verizon, cũng như các sáng kiến ​​của chính phủ và doanh nghiệp tư nhân.

"Tôi không có đủ từ ngữ để diễn tả tôi hạnh phúc như thế nào khi trở thành hacker đầu tiên đạt đến mốc này ”, Lopez nói. “Tôi vô cùng tự hào khi thấy công việc của mình được công nhận và đánh giá cao. Đối với tôi, thành tích này thể hiện rằng các công ty và những người tin tưởng họ đang trở nên an toàn hơn so với trước đây, và điều đó thật đáng kinh ngạc. Đây là động lực thúc đẩy tôi tiếp tục thúc đẩy bản thân và truyền cảm hứng để tôi đưa khả năng hack của mình lên một tầm cao mới. ”

Lopez là một hacker được xếp hạng cao nhất mọi thời đại trên bảng xếp hạng của HackerOne trong số hơn ba trăm ba mươi nghìn hacker đang cạnh tranh cho vị trí đầu bảng. Tin tặc được mời tìm ra điểm yếu của hơn 1,200 công ty công nghệ, chính phủ và doanh nghiệp dựa vào cộng đồng tin tặc của HackerOne để báo cáo an toàn các lỗ hổng bảo mật trước khi chúng có thể bị bọn tội phạm khai thác. Chuyên môn của anh ấy là tìm ra các lỗ hổng Tham chiếu Đối tượng Trực tiếp Không an toàn (IDOR).

Giống như nhiều hacker khác, Lopez tự học. Anh ấy lần đầu tiên được truyền cảm hứng để bắt đầu sau khi xem bộ phim Hackers và học cách hack bằng cách xem các hướng dẫn trực tuyến miễn phí và đọc các blog nổi tiếng. Năm 2015, khi 16 tuổi, anh đăng ký HackerOne và kiếm được khoản tiền thưởng đầu tiên là US50 đô la tháng sau. Anh ta chọn bí danh “try_to_hack” để giữ động lực cho bản thân - anh ta quyết tâm cố gắng hack các công ty bất kể anh ta biết mình có thể thành công hay không. Anh ấy giữ cái tên ngày hôm nay để nhắc nhở anh ấy về cách anh ấy bắt đầu với tư cách là một hacker bounty. OTrong ba năm hack sau giờ học trước đây và giờ là toàn thời gian, anh ta đã kiếm được gần bốn mươi lần mức lương trung bình của kỹ sư phần mềm ở Buenos Aires chỉ với tiền thưởng lỗi.

"Toàn bộ cộng đồng HackerOne đều ngưỡng mộ công việc của Santiago, ”Giám đốc điều hành HackerOne Marten Mickos cho biết. “Tò mò, tự học và sáng tạo, Santiago là hình mẫu cho hàng trăm nghìn tin tặc tham vọng trên khắp thế giới. Cộng đồng hacker là lực lượng bảo vệ mạnh mẽ nhất mà chúng ta có để chống lại tội phạm mạng. Đây là một cột mốc tuyệt vời đối với Santiago nhưng còn lớn hơn nhiều là những cải tiến về bảo mật mà các công ty đã đạt được và tiếp tục đạt được nhờ vào công việc không ngừng của Santiago. ”

Lopez không đơn độc trong cuộc đua hướng tới mốc tiền thưởng lỗi này.

Những ngày sau khi Lopez vượt qua USPhần thưởng 1 triệu đô la tiền thưởng, Mark Litchfield - còn được biết đến với tay cầm @mlitchfield - gia nhập hàng ngũ câu lạc bộ hacker tiền thưởng lỗi triệu đô la. Năm 2016, Litchfield đã làm nên lịch sử với tư cách là hacker đầu tiên kiếm được nhiều tiền hơn US500,000 đô la tiền thưởng lỗi. Đến nay, Litchfield đã giúp các tổ chức bao gồm New Relic, Dropbox, Venmo, Yelp, Rockstar Games, Shopify và Starbucks giải quyết hơn 900 điểm yếu bảo mật.

Để biết thêm về hành trình của Santiago Lopez để trở thành hacker kiếm được nhiều tiền nhất trên HackerOne, hãy đọc phần Hỏi và Đáp mới nhất với anh tại đây. Để tham gia và bắt đầu hack, HackerOne hiện đang cung cấp Hacker 101- một bộ sưu tập video, tài nguyên và các hoạt động thực hành miễn phí sẽ dạy mọi thứ cần thiết để hoạt động như một thợ săn tiền thưởng lỗi. Tham gia cộng đồng hacker lớn nhất thế giới, chỉ trong năm 2018, đã kiếm được nhiều hơn US19 triệu đô la tiền thưởng cho những đóng góp của họ, hãy đăng ký HackerOne nhấn vào đây..

Santiago Lopez, hacker có đạo đức HackerOne
Santiago Lopez

Hỏi và đáp với Santiago Lopez

Trích đoạn: @try_to_hack người Argentina 19 tuổi vừa làm nên lịch sử khi là người đầu tiên kiếm được hơn 1,000,000 đô la tiền thưởng trên HackerOne. Chúng tôi kết nối với anh ấy để tìm hiểu thêm về cách anh ấy đạt được cột mốc ấn tượng này. Chúng tôi hy vọng bạn cũng được truyền cảm hứng như chúng tôi! @Try_to_hack người Argentina 19 tuổi vừa làm nên lịch sử khi là người đầu tiên kiếm được hơn 1,000,000 đô la Mỹ tiền thưởng trên HackerOne. Kể từ khi gia nhập HackerOne vào năm 2015, Santiago đã báo cáo hơn 1,670 lỗ hổng duy nhất hợp lệ cho các công ty như Verizon Media Company, Twitter, WordPress, Automattic và HackerOne, cũng như các chương trình tư nhân. Anh ấy liên tục đứng đầu bảng xếp hạng HackerOne, với phân vị thứ 91 về tín hiệu, phân vị thứ 84 về tác động, thứ 2 về tổng thể trên nền tảng và hơn 37,000 danh tiếng!

Là một hacker tự học, chủ yếu sử dụng blog và YouTube để mở rộng kỹ năng của mình, Santiago cho chúng ta thấy rằng việc học hack không dành riêng cho lớp học truyền thống.

Chúng tôi rất vui mừng cho Santiago và biết ơn vì hơn 1,670 lỗ hổng bảo mật mà anh ấy báo cáo hiện đã được giải quyết. Chúng tôi đã kết nối với anh ấy để tìm hiểu thêm về cách anh ấy đạt được cột mốc ấn tượng này. Chúng tôi hy vọng bạn cũng được truyền cảm hứng như chúng tôi!

Q: Bạn cảm thấy thế nào khi trở thành hacker kiếm được tiền thưởng trị giá hàng triệu đô la đầu tiên?
SL: Tôi không có đủ từ ngữ để diễn tả cảm giác hạnh phúc khi trở thành hacker đầu tiên đạt được mốc này. Tôi vô cùng tự hào khi thấy công việc của mình được công nhận và đánh giá cao. Không chỉ vì tiền, mà bởi vì thành tựu này cho thấy thông tin của các công ty và mọi người được bảo mật hơn so với trước đây, và điều đó thật đáng kinh ngạc.

Q: Điều gì khiến bạn muốn trở thành một hacker?
SL: Tôi luôn thích máy tính và lập trình từ khi còn là một đứa trẻ, nhưng tôi chưa bao giờ biết gì về hack. Tôi thậm chí còn không biết nó tồn tại cho đến khi tôi xem bộ phim “Hackers”, bộ phim đã mở ra một thế giới hoàn toàn mới cho tôi. Khi tôi tìm hiểu thêm, tôi nhận ra rằng tôi bị cuốn hút một cách tự nhiên vào các loại thách thức và cơ hội giải quyết vấn đề liên quan đến hack. Tuyệt vời nhất là khi tôi phát hiện ra sự tồn tại của các chương trình tiền thưởng lỗi như HackerOne. Nó cho phép tôi làm những gì tôi thích làm, kiếm tiền khi tôi muốn, ở nơi tôi muốn, và đồng thời làm cho thế giới an toàn hơn một chút. Thật không thể tin được!

Q: Bạn đã học cách hack như thế nào và bạn bắt đầu từ khi nào?
SL: Năm 2015, khi tôi 16 tuổi, tôi hoàn toàn tự học. Tôi đã học cách hack nhờ Internet. Tôi đã xem các hướng dẫn trực tuyến và cũng đọc rất nhiều về hack. Đây là cách tôi trở thành hacker như ngày hôm nay. Tôi đã mất một thời gian dài để tìm ra lỗ hổng đầu tiên của mình, nhưng với sự kiên nhẫn và nỗ lực, nó chắc chắn có thể đạt được.

Q: Làm thế nào bạn tìm thấy các chương trình tiền thưởng lỗi?
SL: Trên Internet và HackerOne.

Q: Loại lỗi và chương trình nào bạn quan tâm nhất?
SL: Tôi chủ yếu quan tâm đến các chương trình trả tiền. Tôi ít quan tâm hơn đến việc chúng là riêng tư hay công khai, và quan tâm nhiều hơn đến phạm vi của chương trình tiền thưởng lỗi. Điều khiến tôi quan tâm nhất khi tìm kiếm lỗi là tìm được càng nhiều lỗi càng tốt trong một khoảng thời gian ngắn và cố gắng kiếm phần thưởng tiền thưởng xứng đáng cho chúng. Tôi biết họ nói chất lượng trước số lượng, nhưng số lượng là thứ tôi thích.

H: Bạn kiếm được tiền thưởng đầu tiên của mình khi nào và loại lỗi nào?
SL: Khoản thanh toán tiền thưởng đầu tiên của tôi là $ 50 cho CSRF mà tôi tìm thấy vào năm 2016 khi tôi 17 tuổi. Vào thời điểm đó, tôi không quan tâm lắm đến quy mô của tiền thưởng. Tôi rất vui và hào hứng khi tự mình kiếm được phần thưởng đầu tiên.

Q: Tiền thưởng lớn nhất mà bạn kiếm được là gì và nó dùng để làm gì?
SL: US $ 9K cho SSRF trong chương trình tư nhân.

Q: Điều đầu tiên bạn mua bằng tiền thưởng lỗi là gì?
SL: Một máy tính mới. Máy tính của tôi đã cũ và tôi biết rằng một máy tính nhanh hơn sẽ giúp tôi thực hiện việc hack nhanh hơn và hiệu quả hơn nhiều.

Q: Bạn thích hack chủ yếu khi nào, thời gian nào trong ngày?
SL: Một chút vào buổi chiều và tối, nhưng tốt nhất là vào ban đêm. Tôi xem hack là một công việc bình thường, vì vậy tôi có xu hướng hack từ 6 đến 7 giờ mỗi ngày.

H: Bạn thích tìm loại lỗ hổng bảo mật nào và tại sao?
SL: IDORs [hoặc Tham chiếu Đối tượng Trực tiếp Không an toàn]. Đó là một lỗ hổng mà tôi rất dễ tìm thấy và các chương trình thưởng lỗi lớn hơn thường trả rất tốt cho chúng.

Q: Tên người dùng của bạn là "cố gắng hack" - làm thế nào bạn nghĩ ra tên đó? Là tin tặc triệu đô đầu tiên, có lẽ bây giờ bạn có thể là “Tôi hack” ”
SL: Ban đầu, mục tiêu của tôi là cố gắng hack các công ty nhưng tôi không chắc mình sẽ thành công. Đó là lý do tại sao “try_to_hack” dường như là một cái tên rất hay tại thời điểm đó. Tuy nhiên, tôi vẫn thích nó và tôi sẽ không thay đổi nó vì nó nhắc tôi nhớ lại lần đầu tiên tôi bắt đầu.

Q: Cộng đồng hacker ở Argentina như thế nào? Bạn bè của bạn cũng là hacker? Bạn có hack với người khác không?
SL: Thật không may, tôi chưa có cơ hội gặp những hacker khác ở Argentina nhưng tôi chắc rằng có rất nhiều. Không ai trong số bạn bè của tôi là tin tặc. Tôi thích tự mình hack. Tôi quan tâm đến việc giao lưu với các hacker khác để trao đổi kiến ​​thức nhưng việc tự mình tìm ra lỗi là điều khá thú vị.

Q: Bạn có định tiếp tục hack bằng các chương trình tiền thưởng lỗi không?
SL: Tôi chắc chắn rằng tôi sẽ tiếp tục hack với các chương trình tiền thưởng lỗi. Đó là một trong những điều thú vị nhất mà tôi đã khám phá ra trong cuộc đời mình. Tôi chắc chắn rằng bất cứ ai phát hiện ra các chương trình tiền thưởng lỗi cũng sẽ sớm nhận ra rằng nó mở ra cơ hội mới cho cả tin tặc và các công ty cam kết bảo mật.

Q: Bạn bè và gia đình của bạn có biết bạn là một hacker không? Mọi người phản ứng thế nào khi bạn nói với họ rằng bạn là một hacker - và là một trong những người giỏi nhất thế giới về điều đó?
SL: Vâng, bạn bè và gia đình tôi đều biết rằng tôi là một hacker. Lần đầu tiên tôi nói với họ, họ không thể tin được. Họ coi hacker như một kẻ xấu, chuyên đi cướp của mọi người. Họ không nghĩ rằng một hacker có thể giỏi và kiếm tiền một cách hợp pháp. Sau khi dành rất nhiều thời gian để giải thích điều này với bạn bè và gia đình của tôi, cuối cùng họ cũng bắt đầu tin vào điều đó và vô cùng hạnh phúc vì thành công của tôi.

Q: Bạn muốn thêm gì nữa không?
SL: Tôi muốn cảm ơn HackerOne vì đã ăn mừng thành tích của tôi, tôi thực sự đánh giá cao điều đó. Hy vọng nhiều tiền thưởng sẽ đến. HackerOne là nền tảng tiền thưởng lỗi tốt nhất mà không nghi ngờ gì nữa, và bất kỳ hacker / công ty nào cũng nên sử dụng nó, và tôi chắc chắn rằng sẽ không có gì phải hối tiếc 🙂

Giới thiệu về HackerOne
HackerOne là số 1 nền tảng bảo mật do hacker cung cấp, giúp các tổ chức tìm và sửa chữa các lỗ hổng nghiêm trọng trước khi chúng có thể bị khai thác. Nhiều công ty trong danh sách Fortune 500 và Forbes Global 1000 tin tưởng HackerOne hơn bất kỳ giải pháp thay thế bảo mật nào do hacker cung cấp. Bộ Quốc phòng Hoa Kỳ, Hyatt, General Motors, Google, Twitter, GitHub, Nintendo, Lufthansa, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, Trung tâm điều phối CERT và hơn 1,200 tổ chức khác đã hợp tác với HackerOne để tìm ra hơn 100,000 lỗ hổng và trao hơn 43 triệu đô la Mỹ trong tiền thưởng lỗi. HackerOne có trụ sở chính tại San Francisco với các văn phòng ở London, New York, Hà Lan và Singapore.

# # #