Thu nhập lên tới 100.000 USD mỗi năm nhờ săn lỗi nhận thưởng

Trong thời niên thiếu, Abma đã tặng cho Prins món quà tốt nghiệp không giống ai: Tài khoản và mật khẩu của một đài truyền hình địa phương, cơ quan thường xuyên phát sóng các tin tức về ngôi trường mà họ theo học.

Jobert Abma, đồng sáng lập HackerOne

Sau đó, bộ đôi này đã nắm quyền kiểm soát đài truyền hình và phát sóng chương trình của riêng họ trên sóng trực tiếp.

"Đài truyền hình không thích thú với trò đùa đó", Abma chia sẻ.

Các giáo viên cho rằng Prins, người lớn hơn Abma một tuổi, chịu trách nhiệm cho toàn bộ vụ hack và anh đã nhận toàn bộ trách nhiệm về mình, không hề nhắc tới Abma. Prins bị phạt 25 giờ lao động công ích nhưng anh không hề than phiền bởi đó là những gì mà bạn bè tốt đối xử với nhau.

Hai cậu thanh niên này giỏi trong việc hack tới nỗi nhà cung cấp mạng internet của Abma phải chú ý tới. Họ đã gửi một email tới cho cha mẹ anh để cảnh báo rằng: "Chúng tôi nghĩ máy tính trong gia đình ông bị nhiễm virus bởi hệ thống trong gia đình ông dùng quá nhiều lưu lượng web". "Cha mẹ tôi trả lời: "Chúng tôi không bị nhiễm virus, chúng tôi có một cậu con trai"", Abma nhớ lại.

Michiel Prins, bạn thân, đồng sáng lập HackerOne với Jobert Abma

Bước ngoặt tới với hai chàng trai khi họ cùng theo học tại Đại học Khoa học Ứng dụng Hanze ở Hà Lan.

Trong năm học thứ nhất của Abma, khi cả hai truy cập vào phần mềm mà nhà trường sử dụng để quản lý bài tập về nhà và các lớp họ đã tìm ra một lỗ hổng cho phép họ truy cập vào lớp của tất cả mọi sinh viên.

Chúng tôi đã báo cho nhà cung cấp phần mềm về lỗ hổng và không bao giờ nhận được phản hồi gì, Abma nhớ lại. Theo quy định, các công ty phần mềm không tự động trả lời người lạ, những người tuyên bố rằng họ tìm ra một lỗ hổng.

Do vậy, cặp đôi này đã báo cáo lỗ hổng với nhà trường. Nhà trường đã liên lạc với công ty cung cấp phần mềm và lỗ hổng đã được vá. Nhà trường rất ấn tượng với khả năng của hai cậu sinh viên và đã thuê họ truy tìm các lỗ hổng trong phần mềm của nhà trường.

"Hợp động này mang về cho chúng tôi rất nhiều tiền, nhiều tới nỗi chúng tôi có thể trang trải học phí trong thời gian học đại học", Abma nói. "Chúng tôi vừa học đại học vừa làm cho chính ngôi trường mà chúng tôi đang theo học".

Đại học Khoa học Ứng dụng Hanze rất thích công việc của hai hacker trẻ tuổi và công bố nghiên cứu của họ. Nhưng các công ty phần mềm thì ghét cay ghét đắng công việc của cặp đôi này. Theo Abma, họ thường xuyên nhận được những bức thư yêu cầu, thậm chí đe dọa họ phải ngừng soi mói các lỗ hổng trong phần mềm.

Kiếm 10.000 USD mỗi tuần trong lúc học đại học

"Cha mẹ chúng tôi buộc chúng tôi phải thành lập một công ty riêng" nhằm tránh những rắc rối tiềm tàng, Abma nói.

Nhưng ban đầu, rất khó để tìm kiếm khách hàng. "Bạn biết đấy, chẳng ai tin tưởng hệ thống bảo mật của hai học sinh đại học", Abma chia sẻ.

Vì vậy, hai chàng trai đã đưa ra một thử thách. Nếu họ không thể đột nhập vào một công ty sản xuất bánh trong vòng 60 phút, họ sẽ mua toàn bộ bánh của công ty đó.

"Nhưng nếu chúng tôi có thể hack vào công ty, chúng tôi muốn tổ chức một cuộc họp để nói về các lỗ hổng và tìm cách giúp đỡ họ vá lỗ hổng", Abma nói.

Mọi người thích thử thách đó. "Chúng tôi đã dành những buổi tối và thời gian cuối tuần để hack và thử thách đó giúp rất nhiều công ty lớn ở Hà Lan biết tới chúng tôi", anh kể.

Chẳng mấy chốc, họ đã có hợp đồng từ chính phủ, các ngân hàng lớn và các công ty bảo hiểm.

"Đó là một khoảng thời gian thú vị. Chúng tôi mới 19 và 20 tuổi. Và chúng tôi đã kiếm được khoảng 10.000 USD mỗi tuần, chỉ có hai chúng tôi thôi", Abma nói. "Với hai sinh viên đại học, đó là số tiền rất lớn".

Cảm hứng cho HackerOne

Với nền tảng đó, cặp đôi hacker trẻ tuổi chuyển tới San Francisco và cùng với Merijn Terheggen và Alex Rice, cựu giám đốc bảo mật sản phẩm tại Facebook, thành lập HackerOne.

Marten Mickos, CEO Hacker One

HackerOne là một trang web nơi mà các công ty có thể yêu cầu các hacker tấn công họ và sau đó trả phí dựa trên số lượng lỗ hổng mà các hacker tìm ra. Lỗ hổng càng nghiêm trọng thì mức phí càng cao. HackerOne nhận về 20% hợp đồng.

Chúng tôi gọi nó là chương trình "săn lỗi nhận thưởng".

Ý tưởng của HackerOne là quy tụ các hacker mũ trắng về dưới trướng của công ty để họ tìm ra các vấn đề phần mềm trước khi hacker mũ đen tìm ra và lợi dụng chúng.

Nhiều công ty công nghệ lớn chạy các chương trình "săn lỗi nhận thưởng" riêng của họ như Facebook, Google, Microsoft, Mozilla, Uber và Yahoo.

Nhưng bất kỳ công ty nào trên thế giới đều có thể nhờ một hacker uy tín, trình độ cao kiểm tra hệ thống của họ qua HackerOne. Công ty của Abma cũng cung cấp phần mềm cho phép doanh nghiệp phát hiện các lỗ hổng phần mềm mà các hacker đã tìm ra và vá chúng. Khách hàng của HackerOne rất đa dạng từ các công ty công nghệ lớn tới các hãng startup, bao gồm Bộ Quốc phòng Hoa Kỳ, GM, Slack, Twitter, Yahoo và Uber.

Chi 7 triệu USD tiền thưởng cho các hacker

Từ khi thành lập vào năm 2012 tới nay, HackerOne đã giúp các doanh nghiệp đối tác phát hiện ra 21.000 lỗ hổng và chi ra khoảng 7 triệu USD cho các hacker tìm ra các lỗ hổng đó.

HackerOne đã có 500 khách hàng và khoảng 50 nhân viên. Họ cũng huy động được số vốn lên tới 34 triệu USD. Còn gì tuyệt vời hơn khi các công ty có sự hỗ trợ từ một đội hacker cực kỳ tinh nhuệ nhưng cũng rất thân thiện.

Điều đó cũng đồng nghĩa với việc số tiền mà hacker kiếm được qua trang web của công ty đang tăng mạnh. Ví dụ, các hacker chỉ mất một tháng để kiếm được 1 triệu USD tiền thưởng từ việc săn lỗ hổng phần mềm. Tính tới tháng Hai, số tiền mà HackerOne trả cho các hacker là 6 triệu USD nhưng tới tháng Tư con số đó đã tăng lên 7 triệu USD.

HackerOne không phải là startup duy nhất hoạt động trong lĩnh vực săn lỗi nhận thưởng. Bugcrowd, CrowdSecurity và Synack là các startup khác cũng tham gia thị trường này.

Tuy nhiên, HackerOne gây được nhiều sự chú ý khi bổ nhiệm Marten Mickos làm CEO vào năm ngoái. Mickos nổi tiếng trong thế giới phần mềm với tư cách cựu CEO của Eucalyptus và MySQL và anh ta đã bán cả hai công ty này với những khoản tiền lớn.

"Kiếm thêm" 80.000 USD trong năm nay

Mặc dù là đồng sáng lập của HackerOne nhưng Abma vẫn luôn là một hacker.

Anh vẫn dành những buổi tối và thời gian cuối tuần để tham gia các chương trình săn lỗi nhận thường. Hầu hết các công ty phải trả từ 500 tới 1.000 USD cho mỗi lỗ hổng mà các hacker tìm ra.

Nhưng chi phí có thể cao hơn. Ví dụ, Google trả tới 20.000 USD cho những lỗ hổng nghiêm trọng nhất. Nhiều hãng khác chi trả cao hơn.

Abma nói tám tháng vừa qua anh đã kiếm được 80.000 USD từ chương trình săn lỗi nhận thưởng. Mục tiêu của anh là kiếm được 100.000 USD trong năm 2016 và anh đang đi đúng hướng.

Tiền thường bình quân của một lỗi Abma phát hiện ra là 4.000 USD, khoản thưởng lớn nhất mà anh kiếm được là 30.000 USD.

HackerOne cho biết có khoảng 2.600 hacker trong hệ thống của họ có khả năng tìm ra ít nhất một lỗ hổng nghiêm trọng. Và Abma chia sẻ anh không nằm trong tốp 100. Có nhiều hacker còn kiếm được nhiều tiền hơn anh.

"Một số hacker kiếm được 200.000 USD và khoảng 20 hacker kiếm được 100.000 USD mỗi năm", Abma nói. "Tôi biết một gã đặt mục tiêu trong năm nay phải kiếm được khoảng 500.000 USD. Anh ấy hoàn toàn có thể đạt được mục tiêu đó".

Hầu hết các tin tặc chỉ coi việc săn lỗi nhận tiền là công việc bán thời gian, họ có công việc chính thức. Hầu hết họ làm việc trong ngành công nghệ, họ có thể là kỹ sư phần mềm hoặc chuyên gia bảo mật. Họ làm việc này để kiếm thêm, một nguồn bổ sung không thể tuyệt vời hơn vào mức lương của họ.

Với Abma, anh muốn giúp các công ty đồng thời giúp những hacker khác kiếm thêm tiền và đương nhiên chính anh cũng có thể kiếm thêm các khoản tiền thưởng cho riêng mình.

"Tôi có thể mua vé hạng thương gia khi đi du lịch, ăn uống một cách sang trọng và nhẫn cưới của tôi có thể đắt hơn một chút", anh nói. "Một số người dùng khoản tiền thưởng để trả tiền học phí đại học hoặc trả nợ mà họ đã vay để mua nhà, mua xe. Hacker là những người bình thường và có vai trò quan trọng với tương lai của internet".

Tham khảo BI