Firmen laden Hacker zur Fehlerjagd ein

Golem.de: Wie kann man sich Ihren Arbeitsplatz vorstellen?

Stellenmarkt
  1. Head of IT Business Applications (m/w/d) High-Tech-Industrie
    über Mentis International Human Resources GmbH, Baden-Württemberg
  2. Softwareentwickler - Schwerpunkt: PHP / Java Script
    über grinnberg GmbH, Frankfurt am Main
Detailsuche

Lopez: Ich arbeite normalerweise alleine am Abend von zu Hause aus, am liebsten in meinem Strandhaus, das ist schön ruhig und friedlich. Ich brauche Stille, um mich beim Hacken zu konzentrieren.

Golem.de: Mit welcher Technik gehen Sie vor?

Lopez: Ich mache manuelles Hacking; es ist sehr wichtig, nicht nur Automatisierungsprogramme zu verwenden. Ganz selten verwende ich eigene Programme, je nach Situation ergibt das Sinn. Ich liebe außerdem Burp Suite, ein grafisches Tool zum Testen der Sicherheit von Webanwendungen. Für mich ist es das wirkungsvollste und vollständigste Programm für Bug Bounty Hunter; ich habe eine Menge Bugs damit aufgespürt.

Golem Akademie
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    26.–28. Oktober 2021, Virtuell
  2. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    1.–2. Dezember 2021, virtuell
Weitere IT-Trainings

Golem.de: Haben Sie schon gute Jobangebote von den Firmen bekommen, für die Sie Schwachstellen gefunden haben?

Lopez: Ja, ich habe Angebote bekommen, in IT-Sicherheitsabteilungen diverser Unternehmen zu arbeiten, aber angenommen habe ich keines davon. Auf jeden Fall muss ich erstmal einen Abschluss machen. Irgendwann in meinem Leben plane ich nämlich zu studieren, am liebsten irgendwas mit Technik. Erst danach will ich darüber nachdenken, in so einer Position zu arbeiten.

Golem.de: Was war bisher Ihr größter Erfolg?

Lopez: Ich glaube, der Hacker zu sein, der ich heute bin, ist ein großer Erfolg für mich. Ich bin sehr stolz darauf, das Internet zu einem sichereren Ort zu machen.

Golem.de: Wie kommen Sie zu Ihren Aufträgen?

Lopez: Normalerweise ist man auf Bug-Bounty-Seiten wie "Hacker One" angemeldet. Dann laden Firmen offiziell dazu ein, ihre Netzwerke nach Sicherheitslücken zu überprüfen. "Hacker One" fragt mich an, an der Jagd nach Bugs teilzunehmen. Ich spüre sie dann auf; die Fehler behebe ich aber nicht. Das machen die internen Sicherheitsteams der Unternehmen selbst.

Golem.de: Verlangen die Unternehmen dazu Verschwiegenheitserklärungen von den Hackern?

Lopez: Nein, ich musste noch nie NDAs (non-disclosure agreements, Anm. d. Red.) unterschreiben, aber ich habe mich über die Plattform verpflichtet, nicht konkret über die Bugs zu sprechen, die ich gefunden habe.

Golem.de: Wie kommen Sie dann zu Ihrer Prämie?

Lopez: Die Prämien sind im Vorfeld festgelegt und werden in unterschiedlicher Höhe je nach Grad der Lücke ausgeschüttet. Wenn es sich um einen Fehler handelt, der eine echte Gefahr für die Firma darstellt, ist die Bezahlung auch dementsprechend hoch.

Golem.de: Streicht die Plattform "Hacker One" einen Teil davon ein?

Lopez: Nein, sie behält nichts davon.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Mit einem Film fing alles anEine Million Dollar in drei Jahren 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


.02 Cents 29. Mai 2019

Eben - Sportwagen heisst so viel, wie "Haus am Strand". Bei tausenden Km Küste dürfte es...

.02 Cents 29. Mai 2019

Ohnehin alles reine Spekulation, weil sowas wie "Firma" wird im Artikel nicht einmal...

mmarcel 18. Mai 2019

Ich glaube manchen liegt das einfach mehr als anderen. Studium hin oder her. Mein Respekt...

Peter Brülls 17. Mai 2019

Nein. Grundlagen, denn die Konnotation des reinen Auswendiglernen ist hier...



Aktuell auf der Startseite von Golem.de
Snapdragon 8 Gen1
Der erste ARMv9-Smartphone-Drache ist da

Neuer Name, neue Kerne: Der Snapdragon 8 Gen1 nutzt ARMv9-Technik, auch das 5G-Modem und die künstliche Intelligenz sind viel besser.

Snapdragon 8 Gen1: Der erste ARMv9-Smartphone-Drache ist da
Artikel
  1. 470 - 694 MHz: Streit um DVB-T2 und Veranstalterfrequenzen spitzt sich zu
    470 - 694 MHz
    Streit um DVB-T2 und Veranstalterfrequenzen spitzt sich zu

    Nach dem Vorstoß von Baden-Württemberg, einen Teil des Frequenzbereichs an das Militär zu vergeben, gibt es nun Kritiken daran aus anderen Bundesländern.

  2. Prozessoren: Intel lagert zehn Jahre alte Hardware in geheimem Lagerhaus
    Prozessoren
    Intel lagert zehn Jahre alte Hardware in geheimem Lagerhaus

    Tausende ältere CPUs und andere Hardware lagern bei Intel in einem Lagerhaus in Costa Rica. Damit lassen sich Probleme exakt nachstellen.

  3. Factorial Energy: Mercedes und Stellantis investieren in Feststoffbatterien
    Factorial Energy
    Mercedes und Stellantis investieren in Feststoffbatterien

    Durch Festkörperakkus sollen Elektroautos sicherer werden und schneller laden. Doch mit einer schnellen Serienproduktion ist nicht zu rechnen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Nur noch heute: Bis zu 75% auf Switch-Spiele • AOC 31,5" WQHD 165Hz 289,90€ • Gaming-Sale bei MediaMarkt • G.Skill 64GB Kit DDR4-3800 319€ • Bis zu 300€ Direktabzug: u. a. TVs, Laptops • WD MyBook HDD 18TB 329€ • Switch OLED 359,99€ • Xbox Series S 275,99€ [Werbung]
    •  /