Bug Bounty is een beloning die door een organisatie wordt verstrekt aan iedereen die bugs in hun software of websites meldt. De beloning voor het melden van de bug is afhankelijk van de ernst van de gerapporteerde kwetsbaarheid. John Abma doet hetzelfde door bugs aan verschillende bedrijven te melden en verdient elke maand maar liefst een bedrag.
25-jarige hacker verdiende in 8 maanden $80.000 als ‘bug premiejager’
John Abma, 25 jaar medeoprichter van een startup die bekend staat als HackerEen. Hij hackt computers sinds zijn dertiende. Hij werd daarbij ondersteund door zijn beste vriend Michiel Prins, tevens mede-oprichter van HackerOne.
Hij groeide op in Nederland. Adma bood Prins een vreemd afstudeercadeau aan, namelijk een gebruikersnaam en wachtwoord voor een lokaal tv-station dat regelmatig een nieuwsuitzending over de school verzorgde. Deze twee vrienden kregen de controle over het tv-station en presenteerden hun eigen uitzending op live tv.
“De tv-zender was not amused”, vertelt Abma Zakelijke insider.
Prins kreeg de schuld van de hack van docenten, hij was een jaar ouder dan Abma en “hij heeft ze nooit verteld dat ik de schuldige was”, zegt Abma. Prins heeft 25 uur gemeenschapsdienst gedaan om ramen te wassen, maar ‘daar zijn beste vrienden voor’, zegt hij Abma.
Internetprovider van Abma merkte ook dat het duo erg goed was in hacken. De ISP van Abma stuurde een brief naar zijn ouders waarin stond: “We denken dat er een virus op je computer is geïnstalleerd, omdat er al dat vreemde verkeer uit je systemen komt. Mijn ouders zeiden: ‘We hebben geen virus. We hebben een zoon”, zegt Abma.
De twee vrienden studeerden samen aan de Hanzehogeschool in Nederland. Ze ontdekten een fout in de software die de cijfers van de studenten verwerkte. De do heeft echter geen misbruik gemaakt van de fout in de software. In plaats daarvan hebben ze de softwareleverancier op de hoogte gebracht van de fout, maar ze hebben geen antwoord van hun kant gekregen, beweert Abma.
Toen het softwarebedrijf deze twee vrienden geen antwoord gaf, informeerden ze de universiteitsautoriteiten over de fout. De universiteit heeft vervolgens contact opgenomen met het softwarebedrijf en later is het opgelost. De universiteit werd geïnspireerd door het duo en huurde hen later in om een grotere kwetsbaarheidstest uit te voeren op dezelfde software die de universiteit gebruikte.
“We verdienden zoveel geld met dat contract dat we ons collegegeld konden betalen”, zegt hij. “We gingen studeren en werkten tegelijkertijd voor de universiteit.”
De Hanzehogeschool hield van hun werk en gepubliceerd hun onderzoek.
Vanwege dit en het potentieel van het duo ‘dwongen onze ouders ons om een bedrijf te starten’, zei hij.
Aanvankelijk kregen ze echter geen goede klanten en het was een strijd voor hen. “Zoals je je kunt voorstellen, zal niemand twee studenten hun veiligheid toevertrouwen”, zegt Abma.
“Dat was een heel spannende tijd. Wij waren 19 en 20 jaar oud. En we verdienden met z’n tweetjes ongeveer $10.000 per week”, zegt hij. “Voor twee studenten was dat een heel groot bedrag.”
Het duo vertrok vervolgens naar San Francisco en richtte samen met Alexa Rice, voormalig hoofd productbeveiliging bij Facebook, HackerOne op.
HackerOne is een website waar bedrijven hackers kunnen verzoeken aanvallen uit te voeren op hun softwareproducten of websites, en vervolgens de kosten kunnen betalen, afhankelijk van de ernst van de kwetsbaarheid. Het doel van het bedrijf is om kwetsbaarheden in elke website te vinden en deze op te lossen voordat slechte hackers deze misbruiken.
HackerOne heeft verschillende bedrijven geholpen om 21.000 authentieke kwetsbaarheden te vinden sinds de startup in 2012 werd opgericht en destijds ruim 7 miljoen dollar betaalde.
De startup heeft momenteel 500 klanten en heeft ongeveer 50 mensen in dienst. Het heeft ook $ 34 miljoen aan financiering opgehaald.