• IT-Karriere:
  • Services:

Firmen laden Hacker zur Fehlerjagd ein

Golem.de: Wie kann man sich Ihren Arbeitsplatz vorstellen?

Stellenmarkt
  1. PROSOZ Herten GmbH, Herten (Ruhrgebiet)
  2. IT-Systemhaus der Bundesagentur für Arbeit, Fürth

Lopez: Ich arbeite normalerweise alleine am Abend von zu Hause aus, am liebsten in meinem Strandhaus, das ist schön ruhig und friedlich. Ich brauche Stille, um mich beim Hacken zu konzentrieren.

Golem.de: Mit welcher Technik gehen Sie vor?

Lopez: Ich mache manuelles Hacking; es ist sehr wichtig, nicht nur Automatisierungsprogramme zu verwenden. Ganz selten verwende ich eigene Programme, je nach Situation ergibt das Sinn. Ich liebe außerdem Burp Suite, ein grafisches Tool zum Testen der Sicherheit von Webanwendungen. Für mich ist es das wirkungsvollste und vollständigste Programm für Bug Bounty Hunter; ich habe eine Menge Bugs damit aufgespürt.

Golem.de: Haben Sie schon gute Jobangebote von den Firmen bekommen, für die Sie Schwachstellen gefunden haben?

Lopez: Ja, ich habe Angebote bekommen, in IT-Sicherheitsabteilungen diverser Unternehmen zu arbeiten, aber angenommen habe ich keines davon. Auf jeden Fall muss ich erstmal einen Abschluss machen. Irgendwann in meinem Leben plane ich nämlich zu studieren, am liebsten irgendwas mit Technik. Erst danach will ich darüber nachdenken, in so einer Position zu arbeiten.

Golem.de: Was war bisher Ihr größter Erfolg?

Lopez: Ich glaube, der Hacker zu sein, der ich heute bin, ist ein großer Erfolg für mich. Ich bin sehr stolz darauf, das Internet zu einem sichereren Ort zu machen.

Golem.de: Wie kommen Sie zu Ihren Aufträgen?

Lopez: Normalerweise ist man auf Bug-Bounty-Seiten wie "Hacker One" angemeldet. Dann laden Firmen offiziell dazu ein, ihre Netzwerke nach Sicherheitslücken zu überprüfen. "Hacker One" fragt mich an, an der Jagd nach Bugs teilzunehmen. Ich spüre sie dann auf; die Fehler behebe ich aber nicht. Das machen die internen Sicherheitsteams der Unternehmen selbst.

Golem.de: Verlangen die Unternehmen dazu Verschwiegenheitserklärungen von den Hackern?

Lopez: Nein, ich musste noch nie NDAs (non-disclosure agreements, Anm. d. Red.) unterschreiben, aber ich habe mich über die Plattform verpflichtet, nicht konkret über die Bugs zu sprechen, die ich gefunden habe.

Golem.de: Wie kommen Sie dann zu Ihrer Prämie?

Lopez: Die Prämien sind im Vorfeld festgelegt und werden in unterschiedlicher Höhe je nach Grad der Lücke ausgeschüttet. Wenn es sich um einen Fehler handelt, der eine echte Gefahr für die Firma darstellt, ist die Bezahlung auch dementsprechend hoch.

Golem.de: Streicht die Plattform "Hacker One" einen Teil davon ein?

Lopez: Nein, sie behält nichts davon.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Mit einem Film fing alles anEine Million Dollar in drei Jahren 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

.02 Cents 29. Mai 2019

Eben - Sportwagen heisst so viel, wie "Haus am Strand". Bei tausenden Km Küste dürfte es...

.02 Cents 29. Mai 2019

Ohnehin alles reine Spekulation, weil sowas wie "Firma" wird im Artikel nicht einmal...

mmarcel 18. Mai 2019

Ich glaube manchen liegt das einfach mehr als anderen. Studium hin oder her. Mein Respekt...

Peter Brülls 17. Mai 2019

Nein. Grundlagen, denn die Konnotation des reinen Auswendiglernen ist hier...


Folgen Sie uns
       


Verkehrswende: Zaubertechnologie statt Citybahn
Verkehrswende
Zaubertechnologie statt Citybahn

In Wiesbaden wird um den Bau einer Straßenbahn gestritten, eine Bürgerinitiative kämpft mit sehr kuriosen Argumenten dagegen.
Eine Recherche von Hanno Böck

  1. Fernbus Roadjet mit zwei WLANs und Maskenerkennung gegen Flixbus
  2. Mobilität Wie sinnvoll sind synthetische Kraftstoffe?

MX 10.0 im Test: Cherrys kompakte, flache, tolle RGB-Tastatur
MX 10.0 im Test
Cherrys kompakte, flache, tolle RGB-Tastatur

Die Cherry MX 10.0 kommt mit besonders flachen MX-Schaltern, ist hervorragend verarbeitet und umfangreich programmierbar. Warum Nutzer in Deutschland noch auf sie warten müssen, ist nach unserem Test unverständlich.
Ein Test von Tobias Költzsch

  1. Argand Partners Cherry wird verkauft

iPhone, iPad und Co.: Apple bringt iOS 14, iPadOS 14, TVOS 14 und WatchOS 7
iPhone, iPad und Co.
Apple bringt iOS 14, iPadOS 14, TVOS 14 und WatchOS 7

Auch ohne neue iPhones lässt es sich Apple nicht nehmen, seine neue iOS-Version 14 zu veröffentlichen. Auch andere Systeme erhalten Upgrades.

  1. Apple Pay EU will Apple zur Freigabe von NFC-Chip bringen
  2. Apple One Abos der verschiedenen Apple-Dienste im Paket
  3. Corona Apple hat eigenen Mund-Nasen-Schutz entwickelt

    •  /