据外媒报道,一名19岁的少年在报告软件和在线服务漏洞中赚取了100多万美元。
来自阿根廷的19岁少年Santiago Lopez在2015年加入了bug 赏金计划平台HackerOne,他的网名是@try_to_hack。到目前为止,Lopez共报告了1670多个漏洞,其中有些漏洞与Verizon Media、Twitter、Wordpress和Automattic等产品有关。
Lopez现在在HackerOne排行榜上位居榜单前列,在signal也排第91位,在impact排第84位。
令人吃惊的是,Lopez竟然是自学成才!他自学了如何通过互联网资源和YouTube视频追踪漏洞,其中也包括不安全的直接对象引用(IDORS)和跨站点请求伪造(CSRF)等一些赏金较高的漏洞。
从赚取CSRF安全漏洞的50美元开始,Lopez一点点地积累经验,曾为私有程序找出SSRF(服务端请求伪造)漏洞,获得了9000美元的报酬,这是他获得的最大一笔赏金。
Lopez目前已经赚取超一百万美元,但他并不打算停止。这位年轻的黑客说:“看到我的工作得到认可和重视,我感到无比自豪。我不仅仅是为了钱,而是因为这项成就代表着我帮助公司和个人的信息比以前更安全。”
根据HackerOne对平台中3667名漏洞赏金猎人的调查,在该平台成立期间,黑客获得的赏金超过4200万美元,其中2018年占1900万美元。
81%的受访者称自己是自学成才。90%的黑客年龄在35岁以下,47%的黑客年龄在18 -24岁之间。
bug赏金猎人最喜欢从网站上寻找漏洞。超过70%的受访者表示,域名是他们寻找bug的首选对象,其次是API、数据存储技术、Android应用程序、操作系统和可下载软件。