Bug Bounty is een beloning die door een organisatie wordt verstrekt aan iedereen die bugs in hun software of websites meldt. De beloning voor het melden van de bug is afhankelijk van de ernst van de gerapporteerde kwetsbaarheid. John Abma doet hetzelfde door bugs aan verschillende bedrijven te melden en verdient elke maand maar liefst een bedrag.
25-jarige hacker verdiende in 8 maanden $80.000 als ‘bug premiejager’
John Abma, 25 jaar medeoprichter van een startup die bekend staat als HackerEen. Hij hackt computers sinds zijn dertiende. Hij werd daarbij ondersteund door zijn beste vriend Michiel Prins, tevens mede-oprichter van HackerOne.
Hij groeide op in Nederland. Adma bood Prins een vreemd afstudeercadeau aan, namelijk een gebruikersnaam en wachtwoord voor een lokaal tv-station dat regelmatig een nieuwsuitzending over de school verzorgde. Deze twee vrienden kregen de controle over het tv-station en presenteerden hun eigen uitzending op live tv.
āDe tv-zender was not amusedā, vertelt Abma Zakelijke insider.
Prins kreeg de schuld van de hack van docenten, hij was een jaar ouder dan Abma en āhij heeft ze nooit verteld dat ik de schuldige wasā, zegt Abma. Prins heeft 25 uur gemeenschapsdienst gedaan om ramen te wassen, maar ‘daar zijn beste vrienden voor’, zegt hij Abma.
Internetprovider van Abma merkte ook dat het duo erg goed was in hacken. De ISP van Abma stuurde een brief naar zijn ouders waarin stond: āWe denken dat er een virus op je computer is geĆÆnstalleerd, omdat er al dat vreemde verkeer uit je systemen komt. Mijn ouders zeiden: ‘We hebben geen virus. We hebben een zoon”, zegt Abma.
De twee vrienden studeerden samen aan de Hanzehogeschool in Nederland. Ze ontdekten een fout in de software die de cijfers van de studenten verwerkte. De do heeft echter geen misbruik gemaakt van de fout in de software. In plaats daarvan hebben ze de softwareleverancier op de hoogte gebracht van de fout, maar ze hebben geen antwoord van hun kant gekregen, beweert Abma.
Toen het softwarebedrijf deze twee vrienden geen antwoord gaf, informeerden ze de universiteitsautoriteiten over de fout. De universiteit heeft vervolgens contact opgenomen met het softwarebedrijf en later is het opgelost. De universiteit werd geĆÆnspireerd door het duo en huurde hen later in om een āāgrotere kwetsbaarheidstest uit te voeren op dezelfde software die de universiteit gebruikte.
“We verdienden zoveel geld met dat contract dat we ons collegegeld konden betalen”, zegt hij. āWe gingen studeren en werkten tegelijkertijd voor de universiteit.ā
De Hanzehogeschool hield van hun werk en gepubliceerd hun onderzoek.
Vanwege dit en het potentieel van het duo ādwongen onze ouders ons om een āābedrijf te startenā, zei hij.
Aanvankelijk kregen ze echter geen goede klanten en het was een strijd voor hen. āZoals je je kunt voorstellen, zal niemand twee studenten hun veiligheid toevertrouwenā, zegt Abma.
āDat was een heel spannende tijd. Wij waren 19 en 20 jaar oud. En we verdienden met zān tweetjes ongeveer $10.000 per weekā, zegt hij. āVoor twee studenten was dat een heel groot bedrag.ā
Het duo vertrok vervolgens naar San Francisco en richtte samen met Alexa Rice, voormalig hoofd productbeveiliging bij Facebook, HackerOne op.
HackerOne is een website waar bedrijven hackers kunnen verzoeken aanvallen uit te voeren op hun softwareproducten of websites, en vervolgens de kosten kunnen betalen, afhankelijk van de ernst van de kwetsbaarheid. Het doel van het bedrijf is om kwetsbaarheden in elke website te vinden en deze op te lossen voordat slechte hackers deze misbruiken.
HackerOne heeft verschillende bedrijven geholpen om 21.000 authentieke kwetsbaarheden te vinden sinds de startup in 2012 werd opgericht en destijds ruim 7 miljoen dollar betaalde.
De startup heeft momenteel 500 klanten en heeft ongeveer 50 mensen in dienst. Het heeft ook $ 34 miljoen aan financiering opgehaald.