这位阿根廷黑客揭露了他的赚钱方法

圣地亚哥·洛佩斯正在成为世界上第一个虫子悬赏百万富翁的路上

为关键安全漏洞支付巨额奖金常常成为头条新闻,但世界上第一个悬赏漏洞的百万富翁却通过一种不那么明显的方式吸引了媒体的注意。

圣地亚哥洛佩兹当时他才19岁达到了里程碑2019年2月,将他的成功归功于一个令人惊叹的职业道德和平衡奖励的规模,以防止赚取它的时间。

现在,洛佩兹在HackerOne榜单上排名第二历史排行榜尽管迄今为止,迄今为止越来越富裕,但通过所喜好的计划提供巨大的奖励脸谱网,索尼PlayStation,苹果

基于布宜诺斯艾利斯的洛佩兹,他赢得了16岁的第一个Bug Bounty,并且已经获得了成功Twitter、Uber和Airbnb,他告诉每日痛饮beplay2018官网他的能力背后的秘密是胜过全球大多数猎虫者。


它是如何成为第一个感觉的bug赏金这么年轻就成为百万富翁?

我仍然很感激成为第一个到达这个里程碑的黑客,很荣幸看到我的工作被认可和重视。

我最自豪的是,由于我的工作,公司和信任他们的人比以前更有安全感。这激励着我继续推动自己将黑客技术提升到一个新的水平。


你新获得的财富在哪些方面改变了你的生活?

在许多方面。我最感激的是能够帮助我的家人,因为他们是应得的。

能够找到一个富有的生活让我非常感谢我所拥有的,特别是在我来自年轻人的地方[很少]有[那种]的机会,我[已经有了]。


推荐“我认为这完全是一个侥幸。”——凯蒂·帕克斯顿对她的虫子悬赏洗礼感到恐惧,也担心人工智能永远不会完全取代安全研究人员


你得到的最大的赏金是什么?是什么窃听器?

我挣到的最大一笔赏金是九千美元SSRF.(服务器端请求伪造漏洞]在私人计划中。

在寻找漏洞时,我最感兴趣的是在短时间内找到尽可能多的漏洞,并从中获得丰厚的报酬。有些人说,“质量先于数量”——但数量才是我喜欢的!


你认为你成功的主要原因是什么?是什么让你看到别人看不到的虫子?是你的方法,还是你投入了更多的时间?或者仅仅是天生的黑客天赋?

我通常每天花6到7个小时来黑客,这比大多数有道德的黑客都多。

在寻找错误时,我总是寻找更严重的 - 我不是关键错误的粉丝。我的目标是找到我可以在最少的时间内找到的[最高]价值错误。如果该计划在每次500- $ 2K之间有奖励,我认为它很高。


圣地亚哥·洛佩兹和其他安全漏洞赏金猎人洛佩兹和他的HackerOne bug猎手伙伴们


在之前的采访中,您表示您的专业是发现不安全的直接对象参考(IDOR)漏洞。为什么这么感兴趣的领域?

我喜欢这些漏洞,因为它们很容易找到,而且大多数大型程序为它们付出了很高的代价。我的重点是最大化我的时间收益,寻找对我来说是最好的方法。


阅读更多的最新漏洞赏金新闻


是否有其他类型的漏洞是你特别感兴趣或擅长的,为什么?

除了喜欢IDORs,其他吸引我的弱点还有XS.(跨站点脚本编制)、权限模型问题,或SSRF。我喜欢这些攻击,因为它们很容易被发现,而且大多数公司为它们付出了很多。


你发现的最有趣和/或最有影响的bug是什么?

在我的职业生涯中,我有机会发现很多有趣的idr。

最有趣的是,我可以删除受影响公司创建的任何用户。还有一些允许我在未经授权的情况下编辑公司的关键设置。


你通常的目标项目是什么?你是如何决定的?它是基于技术的类型,例如,还是基于项目的声誉?

HackerOne非常适合寻找好的、有回报的程序,而且非常容易使用。

当然,那些让我感兴趣的项目就是那些能给我钱的项目。我不关心他们是否隐私或名声;我关心的是,它们允许我通过拥有广泛的范围来探索和研究新事物。


有关的冠状病毒大流行给安全漏洞赏金市场带来了压力


您是否遇到过任何负责任披露的问题?如果是这样,发生了什么?

事实是,我从不介意负责任地公开自己的隐私。

同样,我知道有些人有问题,因为他们公布了有关他们不应该的错误的信息。这是社区中的一个相当普遍的局面,但我们都尽力尽可能专业。


您是否计划继续关注未来几年的错误狩猎?

我目前是一个全日制的bug赏金猎人。但是,我想在将来的某些时候学习。

我对信息学的职业感兴趣,并希望自己拥有自己的公司。我仍然希望将黑客视为一种爱好!


你可能会喜欢漏洞赏金领袖Clément多明戈在非洲的网络安全,黑客事件,和连锁漏洞的最大影响