Santiago Lopez (19) begynte for tre år siden å lese blogger og se videoer på Youtube for å lære seg å identifisere programvarefeil. Nå er han den første i verden som har funnet bugs for en million dollar – nærmere ni millioner kroner – via bugrapporterings–plattformen Hackerone.
Forretningsideen til Hackerone er enkel. Selskaper som melder seg for samarbeid sier «ja» til å bli ettergått i sømmene. Finner du feil i systemene til for eksempel Spotify, rapporteres det inn til selskapet og en finnerlønn utbetales til vedkommende som avdekket systemsvikten.
1 700 bugs
Lopez har siden han begynte funnet nesten 1 700 ulike bugs i systemene til blant annet Verizon, Twitter, Wordpress og ulike myndighetsorganer.
– Da jeg fikk mer innsikt i mekanismene, skjønte jeg at jeg ble dratt mot denne type utfordringer og problemløsning, sier han til Hackerone.
Første gang argentineren fant én feil, var han bare 17 år gammel. Den gang fikk han utbetalt finnerlønn på 50 dollar – rundt 430 kroner.
Med tiden klarte han å opparbeidet seg et system, og dermed ble det enklere og enklere å avdekke feil. Nå er målsetningen å finne så mange småfeil som mulig på kortest mulig tid.
Fulltidsjobb
Det gjør at det blir klingene mynt i kassa for 19–åringen, som i dag har feilsøkingen som fulltidsjobb.
Den største finnerlønnen Lopez innkasserte var på 80 000 kroner etter at han avdekket en sårbarhet i en serverløsning som gjorde ham kapabel til å ta over hele systemet.
– Jeg jobber med dette mellom seks og syv timer om dagen, og ser på det som en helt normal jobb, sier han til Hackerone.
Så langt har nettstedet utbetalt nærmere 400 millioner kroner i finnerlønn til mer enn 300 000 registrerte brukerne av hackerplattformen. Totalt har det ble innrapportert over 100 000 sårbarheter av ulik grad.
Uten utdannelse
Ifølge selskapets egne tall oppgir 81 prosent av de registrerte brukerne av plattformen at de har lært faget på egenhånd via ulike blogger og videoer. Kun seks prosent av de spurte brukerne sier de har høyere utdannelse.
Størsteparten av brukeren befinner seg i India, mens det er brukere i USA, Canada, Storbritannia, Tyskland og Singapore som har fått med seg mest av finnerlønnspotten.
Ni av ti brukere av plattformen er under 35 år, og de fleste har bakgrunn fra andre industrier enn IT–bransjen. Det gjør at de kommer inn med et nytt og friskt blikk og ofte derfor er mer kapable til å finne feil.
(artikkelen fortsetter under)
Openbugbounty
De mest brukte verktøyene for å finne sikkerhetshullene er «Burp Suite», «Fiddler», «Webinspect» og «ChipWhisperer», kommer det frem i rapporten.
Hackerone er ikke den eneste plattformen i markedet. Du har også Openbugbounty som har samme forretningside, men denne siden har ikke arrangerte partnerskap med leverandørene. 18 år gamle Eivind Limstrand benytter Openbugbounty.
18–åringen bruker rundt ti til 15 timer i uka på det han betrakter som en hobby, men har ikke vært særlig aktiv i det siste på grunn av andre prosjekter.
Akkurat nå jobber han med et program som skal omgå Windows defender.
– Jeg setter pris på at Openbugbounty gir meg full anonymitet, sier han til digi.no.
NIF ville ikke betale
Vi har tidligere skrevet om Limstrand da han i begynnelsen av mars i fjor varslet om et alvorlig sikkerhetshull i IT–systemene til Norges idrettsforbund (NIF).
Idrettsforbundet tok ikke 18-åringen seriøst, og sikkerhetshullet ble ikke stengt før etter fem måneder.
Idrettsforbundet opplyste til digi.no den gang at de ikke utbetaler «finnerlønn». Siden forbundet oppfattet at Limstrand ikke var ute etter å ivareta idrettens felles løsninger, ble det heller ikke gjort noe mer med saken i mars.
– Slik vi forstår korrespondansen var det heller ikke et tilbud om å hjelpe oss å løse et eventuelt sikkerhetshull.
– Vi opplevde dette som et forsøk på å ta seg betalt for å avsløre et sikkerhetshull, ikke til å sette inn tiltak som løser problemet, sa kommunikasjonsansvarlig Finn Aagaard til digi.no i september.
