Hacken als Beruf – HackerOne schüttet Millionen aus!

Sicherheitslücken suchen, finden, berichten und dafür Geld erhalten – Hacken als Beruf. Es ist das Geschäftsmodell von HackerOne. Doch die Plattform behält das Geld nicht für sich. Der erste Hacker hat nun die Auszahlungssumme von einer Million Dollar erreicht und ist dabei gerade erst 19 Jahre alt.

Hacken als Beruf? Das geht. Sehr erfolgreich sogar.

Es fängt mit einer Anmeldung an. Das Interesse für das Aufspüren und Suchen von Sicherheitslücken sollte man jedoch an den Tag legen. 80% der angemeldeten Person bei HackerOne haben sich ihre Kenntnisse autodidaktisch beigebracht. Neue Technologien, selbst entwickelte Frameworks und neue Trends werden auch morgen dafür sorgen, dass den Hackern und IT-Security Spezialisten der Plattform die Aufträge nicht ausgehen werden.

Bei Santiago Lopez hat alles mit $50 und 16 Jahren angefangen. Gefunden hat er eine Cross-site Request Forgery Lücke (CSRF). Seine größte Belohnung lag bei $9000. Das Unternehmen konnte in diesem Fall eine Server-sie Request Forgery (SSRF) Lücke schließen. Nun hat Lopez zwei Jahre gebraucht um die Million vollzumachen.

Santiago Lopez. Der erste Hacker auf HackerOne der eine Million Dollar ausgeschüttet bekommen hat. Innerhalb von zwei Jahren. Hacken als Beruf? Das geht – sehr erfolgreich sogar. Quelle: bleepingcomputer.com

Zu den bereits gefundenen Lücken haben sich weitere 1674 (!) gesellt. Neben privaten Unternehmen hat er auch Lücken an Twitter, Verizon, HackerOne selbst und US Behörden berichtet – und dafür Summen zwischen 50,- und 9000,- Dollar eingestrichen.

Mit dieser Statistik belegt der Autodidakt den zweiten Platz der Plattform. Insgesamt wurden 19 Millionen Dollar an die Menschen ausgeschüttet, die Hacken als Beruf – auch wenn nur im Nebenjob – ausführen. Das zeigt der Report von HackerOne: die meisten der angemeldeten Nutzer arbeiten zwischen 1 – 10 Stunden auf und mit der Plattform.

Hacken als Beruf bringt ein bis zu 40x höheres Gehalt

Die Plattform hält mit Zahlen über die Nutzer nicht hinterm Damm. Auf der Plattform sind insgesamt 300.000 Sicherheitsforscher angemeldet. Eine beachtliche Größe – und es sind nicht nur Karteileichen. Denn diese Sicherheitsforscher haben mehr als 100.000 valide Sicherheitslücken gemeldet. Wo die meisten herkommen? Indien und USA. Deutschland ist aber nicht außen vor. Aktive und erfolgreiche Hacker erzielen mit ihren Aktivitäten auf der Plattform das dreifache des Gehalts im Vergleich zu einem Softwareentwickler. Den vollen Report kann man hier herunterladen.

Ethik spielt eine relevante Rolle bei der Höhe der Ausschüttung.

Auch wenn eine Sicherheitslücke oft dargestellt wird wie ein Einbruch in ein Haus oder verglichen wird mit dem Diebstahl im Einzelhandel – so richtig gut funktionieren die Vergleiche nicht. Unternehmen müssen sich jedoch trotzdem bewusst sein, wie kritisch Sicherheitslücken das Geschäft treffen können. So hat ein Hacker Angriff bei VFEmail dafür gesorgt, dass das Unternehmen von heute auf morgen den Betrieb einstellen musste. Die anderen zahlreichen Datendiebstähle bei Yahoo, Marriot etc. müssen gar nicht näher erläutert werden. Hacken als Beruf und damit Geld verdienen? Händler wie Zerodium zahlen für diverse Sicherheitslücken erheblich mehr Geld als die Hersteller bzw. Entwickler der Software.

Das zahlt Zerodium für diverse Sicherheitslücken. Hacken als Beruf? EIne Lücke könnte zu Reichtum führen. Quelle: Screenshot Zerodium.com

Wofür die Lücken dann genutzt werden? Das behält das Unternehmen selbstverständlich für sich. Um Staatstrojaner erfolgreich einzusetzen, benötigt es aber solcher Lücken, von denen die Entwickler bzw. Hersteller der Software nichts ahnen.