h2

HackerOne: как два голландских хакера взломали 100 компаний и привлекли инвестиции Юрия Мильнера

Йоберт Абма и Михиел Принс — хакеры-самоучки, которые возглавляют одну из крупнейших «белых» хакерских платформ мира. Их компания HackerOne использует экспертизу 160 тыс. специалистов по компьютерной безопасности, которые из разных точек мира ищут уязвимости в системах General Motors, Starbucks, Airbnb, и Twitter. Их услугами пользуются также власти США и крупные авиакомпании, например Lufthansa.

По словам предпринимателей, на фоне крупных скандалов с вмешательствам хакеров в американские выборы их бизнес процветает. С момента запуска в 2012 году HackerOne привлекла более тысячи компаний и организаций. Свою выручку они раскрывать отказываются, но утверждают, что за год они обнаружили 61 тыс. уязвимостей и в общей сложности гонорар за них составил около $24 млн (им достается процент).

«Все очень уязвимы, – говорит Абма, объясняя востребованность своих услуг. – Огромные риски существуют для всех компаний».


HackerOne в цифрах

Источник: данные компании


120

штатных сотрудников в компании.


16

ТЫС. хакеров работают на фрилансе.


$74

МЛН инвестиций привлечено.


20%

получает HackerOne с каждого гонорара хакеров.


61

ТЫС. уязвимостей обнаружили HackerOne.


Из любителей в профессионалы


Йоберт Абма и Михиел Принс родились в 1990 году и выросли на одной улице в голландском Драхтене. В детстве они вместе играли в компьютерные игры и учились делать сайты, а потом хакнули телестанцию своей школы.

Когда они учились в университете, обнаружили дыру в платформе для хранения персональных данных учеников. Они сообщили об этом в софтверную компанию, но не дождались благодарности. Однако в этот момент у них созрел бизнес-план: искать уязвимости в ПО компаний и брать с них за это деньги.

К 2011 году у них была своя консалтинговая компания с небольшим пулом клиентов. Но их приятель Мерижин Терхегген, который переехал в Сан-Франциско, предложил им попробовать попытать удачи в Кремниевой долине.

Они приехали в 2012 году и начали спамить техногигантов — от Google до Facebook, — приглашая их выпить кофе и поговорить о безопасности. Пить с ними кофе никто не согласился, но Алекс Райс, глава отдела безопасности Facebook, взял их на слабо — предложил им попробовать найти уязвимость в соцсети и написать ему об этом.

Прошерстив мессенджер соцсети, молодые люди нашли серьезный баг. После этого Райс сам пригласил их на барбекю на крыше офиса Facebook — там же они подписали контракт.

Они решили на этом не останавливаться: составили список из 100 компаний Кремниевой долины, с которыми хотели работать, и начали методично их взламывать в поисках слабых мест. Вместе с Терхеггеном и Райсом, который ушел из Facebook, чтобы присоединиться к их стартапу, они основали компанию HackerOne.




Агентство для талантливых хакеров


HackerOne построена на простой идее: интернет небезопасен, в любом ПО есть слабые места, а средняя стоимость взлома для одной компании, по данным исследования Ponemon Institute, —  $3,6 млн. Крупные взломы — как случился в Бюро кредитных историй Equifax, где в сентябре прошлого года хакеры украли данные 143 млн пользователей, — могут обойтись в сотни миллионов.

HackerOne помогает компаниям находить надежных независимых экспертов, которые тестируют их системы безопасности. «Мы работаем как агентство — подбираем хакеров со специфическими навыками и знаниями под конкретные задачи компаний», — говорит Абма. Инвесторы увидели возможность в этой идее: в общей сложности стартап привлек $74 млн от таких игроков, как Марк Бениофф из Salesforce, российский миллиардер и венчурный инвестор Юрий Мильнер, Дрю Хьюстон из Dropbox и Джереми Стопельмен из Yelp.

В зависимости от тяжести предотвращенной угрозы, каждый «белый хакер», подключенный к их платформе, получает гонорар от нескольких сотен до $10 тыс. за одну обнаруженную уязвимость. В качестве посредника HackerOne помогает проводить оплату, проверяет бэкраунд хакеров, следит за выплатой налогов и юридической стороной сделок. HackerOne получает 20% с каждого гонорара хакеров плюс плата за подписку от компаний, которая варьируется от нескольких тысяч долларов в год до десятков тысяч в месяц.

Многие хакеры говорят, что их устраивает такой вариант, потому что работать самостоятельно с крупными компаниями трудно. «Когда ты ищешь баг через HackerOne, точно знаешь, что тебе заплатят», — говорит 18-летний школьник Джек Кейбл, у которого один из самых высоких рейтингов в HackerOne.




Перейти черту


Граница между «хорошими» и «плохими» хакерами все еще очень зыбкая. При всем своем позиционировании «воинов света» HackerOne все же оказались замешаны в скандале.

В декабре 2017 года Reuters сообщило, как 20-летний хакер взломал систему Uber и получил доступ к данным 57 млн водителей и клиентов компании. Uber заплатил ему $100 тыс. через платформу HackerOne, чтобы он удалил данные, которые угрожал опубликовать.

Uber потом объяснял, что решил заплатить выкуп таким образом, чтобы установить личность хакера.

Хотя HackerOne тогда ни в чем не обвиняли, CEO компании Мартену Микосу пришлось давать показания в Конгрессе США и объяснять, как работает их программа.

Тем не менее, основатели компании видят свою миссию в том, чтобы изменить отношение к хакерам в обществе. «Когда мы были детьми, это считалось незаконным. Мы хотим, чтобы хакеров начали воспринимать как хороших парней».

По материалам: incrussia.ru

Добавить комментарий