Abo
  • IT-Karriere:

Eine Million Dollar in drei Jahren

Golem.de: Wie viel verdient man im Schnitt für einen gefundenen Bug?

Stellenmarkt
  1. über Kienbaum Consultants International GmbH, Stuttgart
  2. SCHILLER Medizintechnik GmbH, Feldkirchen

Lopez: Ich suche immer weniger kritische Bugs; ich bin kein Fan von den ganz schweren Fehlern. Mein Ziel ist, in kurzer Zeit so viele kleine Sicherheitslücken wie möglich zu finden, wofür ich jeweils zwischen 500 und 2.000 US-Dollar bekomme. Ich hatte aber auch schon phantastische Perioden in meiner Hacking-Karriere, wo ich zwischen 50.000 und 75.000 Dollar im Monat für kritische Bugs verdient habe.

Golem.de: Hand aufs Herz: Haben Sie in erster Linie wegen des Geldes angefangen, Schwachstellen in Systemen aufzuspüren? Oder aus anderen Gründen?

Lopez: Als ich mit dem Hacken angefangen habe, hat mich das Geld noch nicht wirklich gekümmert. Ich war einfach glücklich, dass ich meine erste Schwachstelle gefunden habe. Ich habe nie zu träumen gewagt, so viel Geld damit zu verdienen, wie ich es dann habe. Aber ich bin damit jetzt natürlich recht zufrieden.

Golem.de: Vor kurzem haben Sie Ihre erste Million mit Bug Bounty Hunting geknackt. Was haben Sie mit dem ganzen Geld gemacht?

Lopez: Als ich angefangen habe, gutes Geld damit zu verdienen, habe ich mir einen neuen Computer, zwei Autos und ein sehr schönes Strandhaus auf einem Privatgrundstück in Argentinien gekauft, in dem ich sehr gerne Zeit verbringe. Mehr habe ich bisher noch nicht investiert. Ich bin kein großer Fan davon, zu viel Geld auszugeben. Ich spare es lieber.

Golem.de: Muss man den Firmen eigentlich Rechnungen schreiben oder wie läuft das in Ihrer Branche mit der Bezahlung?

Lopez: Nein, ich arbeite ja über "Hacker One", die zwischen uns Hackern und den Firmen vermittelt.

Golem.de: Und die Steuer?

Lopez: Klar, die muss ich zahlen wie jeder andere auch.

Golem.de: Wie viele und welche Firmen haben Sie bisher beauftragt?

Lopez: Ich weiß keine genauen Zahlen mehr, aber ich habe schon mit riesigen Organisationen wie Twitter, Verizon und der US-Regierung gearbeitet. Bis jetzt habe ich über 1.700 Bugs gefunden.

Golem.de: Wie erklären Sie sich, dass die meisten Bug Bounty Hunter nur ein Taschengeld verdienen, während Sie gerade Ihre erste Million damit gemacht haben?

Lopez: Ich kann das nicht wirklich erklären. Ich glaube, es kommt darauf an, Zeit darauf zu verwenden, Websites zu recherchieren und Fehler zu finden. Es ist viel Arbeit und dauert, ist es aber am Ende auf jeden Fall wert.

Golem.de: Ich habe gelesen, dass andere Bug Bounty Hunter manchmal gar nicht bezahlt werden und Ärger mit Firmen haben, die die Prämien nicht auszahlen.

Lopez: Das ist mir noch nicht passiert. Mein Rat ist, sich bei einer bekannten Plattform anzumelden und darüber zu arbeiten, dann passiert das in der Regel auch nicht.

Golem.de: Aber machen Sie noch irgendwas anders als die anderen?

Lopez: Ich glaube nicht. Ich mache einfach einen Job, den ich liebe. Bugs zu finden, gibt mir eben ein echtes High.

Golem.de: Ich verstehe immer noch nicht, wie Sie eine Million damit verdient haben.

Lopez: Ich ziehe es vor, viele kleine Bugs zu finden. Vielleicht ist es das. Ich arbeite an so vielen wie nur irgendwie möglich und erwirtschafte mir dadurch mein Einkommen.

 Firmen laden Hacker zur Fehlerjagd ein
  1.  
  2. 1
  3. 2
  4. 3
  5. 4


Anzeige
Spiele-Angebote
  1. 17,99€
  2. (-78%) 2,20€
  3. 3,99€
  4. 69,99€ (Release am 21. Februar 2020, mit Vorbesteller-Preisgarantie)

.02 Cents 29. Mai 2019

Eben - Sportwagen heisst so viel, wie "Haus am Strand". Bei tausenden Km Küste dürfte es...

.02 Cents 29. Mai 2019

Ohnehin alles reine Spekulation, weil sowas wie "Firma" wird im Artikel nicht einmal...

mmarcel 18. Mai 2019

Ich glaube manchen liegt das einfach mehr als anderen. Studium hin oder her. Mein Respekt...

Peter Brülls 17. Mai 2019

Nein. Grundlagen, denn die Konnotation des reinen Auswendiglernen ist hier...


Folgen Sie uns
       


Atari Portfolio angesehen

Der Atari Portfolio war einer der ersten Palmtop-Computer der Welt - und ist auch 30 Jahre später noch ein interessanter Teil der Computergeschichte. Golem.de hat sich den Mini-PC im Retrotest angeschaut.

Atari Portfolio angesehen Video aufrufen
Pixel 4 im Hands on: Neue Pixel mit Dualkamera und Radar-Gesten ab 750 Euro
Pixel 4 im Hands on
Neue Pixel mit Dualkamera und Radar-Gesten ab 750 Euro

Nach zahlreichen Leaks hat Google das Pixel 4 und das Pixel 4 XL offiziell vorgestellt: Die Smartphones haben erstmals eine Dualkamera - ein Radar-Chip soll zudem die Bedienung verändern. Im Kurztest hinterlassen beide einen guten ersten Eindruck.
Ein Hands on von Tobias Költzsch

  1. Live Captions Pixel 4 blendet auf dem Gerät erzeugte Untertitel ein
  2. Google Fotos Pixel 4 kommt ohne unbegrenzten unkomprimierten Fotospeicher

Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

    •  /