据外媒 PCMag 3 月 1 日报道,19 岁的阿根廷少年 Santiago Lopez 是首位在 HackerOne 平台获得 100 万美元的白帽子黑客。
HackerOne 是一个漏洞悬赏平台,企业或机构提供赏金,白帽黑客帮企业找漏洞,然后拿赏金。
自从加入 HackerOne 以来,Lopez 帮助 Verizon、Twitter、WordPress 和政府部门发现了 1670 多个安全漏洞。
自学成才
Lopez是一个自学成才的黑客,三年前 16 岁才开始阅读技术博客和看 YouTube 视频。但让他对这个黑客领域感兴趣的,是 1995 年上映的电影《黑客》。(PS:由安吉丽娜·朱莉和约翰尼·米勒主演)。
Lopez以前完全不知道黑客群体的存在,直到他看到电影《黑客》。这部电影为他打开了一个全新的世界。 随着他对黑客了解得越来越多,自然而然地被与黑客相关的各种挑战,以及解决问题的机会所吸引。
以量取胜,积少成多
17 岁那年,Lopez才发现自己的第一个软件缺陷,他得到了 50 美元奖励。但随着时间的推移,他提高了自己的技能,专注于“在短时间内尽可能多地发现 bug”。
“我知道他们说质量重于数量,但我喜欢数量,”Lopez说。“我认为黑客是一项正常的工作,所以我倾向于坚持每天工作 6~7 小时。”
Lopez获得的最大一笔赏金是 9000 美元,是一个与服务器相关的漏洞,该漏洞可能允许远程接管。
不过Lopez擅长发现软件漏洞,这些漏洞可以让黑客绕过正常的应用程序过程,访问受保护的资源,比如文件和数据库记录。
后话
找 Bug 挖漏洞,国内白帽黑客拿到最高的奖励,应该是 TK 教主 tombkeeper。微软漏洞悬赏最高奖是 10 万美元,教主拿过 1 次。
TK 教主不是计算机科班出身,他上的是五年医科。大二时开过计算机课,学一些 DOS 系统操作、Foxbase 数据库之类。后来他买了电脑后,才知道可研究的东西很多很多。信息安全是他的业余兴趣之一,把兴趣转成工作,也是靠自学。
如果你也想试试Lopez 的这条路,在国内好像不大可行(你们懂的),不过可以在国外平台尝试。
