Mit der Suche nach Sicherheitslücken zum Millionär

Die Suche nach Schwachstellen ist nicht nur für Hacker attraktiv, denn dank der von Unternehmen ausgelobten Prämien können auch engagierte White Hats gut verdienen. Auf der Plattform HackerOne gibt es nun den ersten Bug-Bounty-Millionär.

Viele Software-Hersteller, aber auch andere Unternehmen loben mittlerweile Prämien für das Aufspüren von Schwachstellen aus, damit sich Sicherheitsexperten ihre Anwendungen oder Infrastrukturen genauer ansehen. Die Intention: Einen attraktiven Anreiz bieten, damit Sicherheitslücken gesucht und gemeldet werden und nicht Cyberkriminelle sie aufspüren und missbrauchen. Plattformen wie HackerOne bringen dafür Unternehmen und Sicherheitsexperten zusammen. Allein im vergangenen Jahr wurden über HackerOne 19 Millionen Dollar verdient – fast genauso viel wie in den sechs Jahren zuvor zusammengenommen. Insgesamt haben White Hats auf der Plattform schon mehr als 42 Millionen Dollar erwirtschaftet.

Mehr als 300.000 Nutzer sind auf HackerOne registriert – gut vier Fünftel von ihnen haben sich das Hacking eigenen Angaben zufolge selbst beigebracht. Einer von ihnen ist der 19-jährige Argentinier Santiago Lopez, der vor einigen Tagen als erster User die Marke von einer Million Dollar knackte. Lopez begann erst vor gut drei Jahren, sich mit dem Thema zu beschäftigen, seine erste gefundene Schwachstelle brachte ihm 50 Dollar ein – da war er 17. »Ich sehe Hacking als normalen Job, deshalb arbeite ich zwischen sechs und sieben Stunden pro Tag«, sagt er. Fast 1.700 Bugs hat er mittlerweile aufgespürt; seine größte Prämie betrug 9.000 Dollar für das Aufspüren eines Server Side Request Forgery, eines Lecks, über das sich einer Applikation gefälschte Anfragen unterschieben lassen.

Mark Litchfield übrigens, der bei HackerOne 2016 als erster die Marke von 500.000 Dollar an Prämien durchbrochen hatte, folgte Lopez nur wenige Tage später in den Millionärsclub. Er brauchte dafür gut 800 Bugs.