HackerOne: как два голландских хакера взломали 100 компаний и привлекли инвестиции Юрия Мильнера
В 2012 году 22-летние Йоберт Абма и Михиел Принс приехали из Нидерландов в Сан-Франциско и начали взламывать сайты Twitter, Spotify и Uber, а потом рассылать им письма, предлагая выстроить систему безопасности. Стратегия оказалась успешной, и через шесть лет среди их клиентов — Starbucks, GM, Uber и Министерство обороны США. Им удалось привлечь $74 млн инвестиций и попасть в рейтинг американского Inc. самых перспективных молодых предпринимателей 30 Under 30. Как они прошли путь от взлома школьного телеканала к самой крупной хакерской платформе мира.
Йоберт Абма и Михиел Принс — хакеры-самоучки, которые возглавляют одну из крупнейших «белых» хакерских платформ мира. Их компания HackerOne использует экспертизу 160 тыс. специалистов по компьютерной безопасности, которые из разных точек мира ищут уязвимости в системах General Motors, Starbucks, Airbnb, и Twitter. Их услугами пользуются также власти США и крупные авиакомпании, например Lufthansa.
По словам предпринимателей, на фоне крупных скандалов с вмешательствам хакеров в американские выборы их бизнес процветает. С момента запуска в 2012 году HackerOne привлекла более тысячи компаний и организаций. Свою выручку они раскрывать отказываются, но утверждают, что за год они обнаружили 61 тыс. уязвимостей и в общей сложности гонорар за них составил около $24 млн (им достается процент).
«Все очень уязвимы, – говорит Абма, объясняя востребованность своих услуг. – Огромные риски существуют для всех компаний».
HackerOne в цифрах
Источник: данные компании
120
штатных сотрудников в компании.
16
тыс. хакеров работают на фрилансе.
$74
млн инвестиций привлечено.
20%
получает HackerOne с каждого гонорара хакеров.
61
тыс. уязвимостей обнаружили HackerOne.
Из любителей в профессионалы
Йоберт Абма и Михиел Принс родились в 1990 году и выросли на одной улице в голландском Драхтене. В детстве они вместе играли в компьютерные игры и учились делать сайты, а потом хакнули телестанцию своей школы.
Когда они учились в университете, обнаружили дыру в платформе для хранения персональных данных учеников. Они сообщили об этом в софтверную компанию, но не дождались благодарности. Однако в этот момент у них созрел бизнес-план: искать уязвимости в ПО компаний и брать с них за это деньги.
К 2011 году у них была своя консалтинговая компания с небольшим пулом клиентов. Но их приятель Мерижин Терхегген, который переехал в Сан-Франциско, предложил им попробовать попытать удачи в Кремниевой долине.
Они приехали в 2012 году и начали спамить техногигантов — от Google до Facebook, — приглашая их выпить кофе и поговорить о безопасности. Пить с ними кофе никто не согласился, но Алекс Райс, глава отдела безопасности Facebook, взял их на слабо — предложил им попробовать найти уязвимость в соцсети и написать ему об этом.
Прошерстив мессенджер соцсети, молодые люди нашли серьезный баг. После этого Райс сам пригласил их на барбекю на крыше офиса Facebook — там же они подписали контракт.
Они решили на этом не останавливаться: составили список из 100 компаний Кремниевой долины, с которыми хотели работать, и начали методично их взламывать в поисках слабых мест. Вместе с Терхеггеном и Райсом, который ушел из Facebook, чтобы присоединиться к их стартапу, они основали компанию HackerOne.
Агентство для талантливых хакеров
HackerOne построена на простой идее: интернет небезопасен, в любом ПО есть слабые места, а средняя стоимость взлома для одной компании, по данным исследования Ponemon Institute, — $3,6 млн. Крупные взломы — как случился в Бюро кредитных историй Equifax, где в сентябре прошлого года хакеры украли данные 143 млн пользователей, — могут обойтись в сотни миллионов.
HackerOne помогает компаниям находить надежных независимых экспертов, которые тестируют их системы безопасности. «Мы работаем как агентство — подбираем хакеров со специфическими навыками и знаниями под конкретные задачи компаний», — говорит Абма. Инвесторы увидели возможность в этой идее: в общей сложности стартап привлек $74 млн от таких игроков, как Марк Бениофф из Salesforce, российский миллиардер и венчурный инвестор Юрий Мильнер, Дрю Хьюстон из Dropbox и Джереми Стопельмен из Yelp.
В зависимости от тяжести предотвращенной угрозы, каждый «белый хакер», подключенный к их платформе, получает гонорар от нескольких сотен до $10 тыс. за одну обнаруженную уязвимость. В качестве посредника HackerOne помогает проводить оплату, проверяет бэкраунд хакеров, следит за выплатой налогов и юридической стороной сделок. HackerOne получает 20% с каждого гонорара хакеров плюс плата за подписку от компаний, которая варьируется от нескольких тысяч долларов в год до десятков тысяч в месяц.
Многие хакеры говорят, что их устраивает такой вариант, потому что работать самостоятельно с крупными компаниями трудно. «Когда ты ищешь баг через HackerOne, точно знаешь, что тебе заплатят», — говорит 18-летний школьник Джек Кейбл, у которого один из самых высоких рейтингов в HackerOne.
Перейти черту
Граница между «хорошими» и «плохими» хакерами все еще очень зыбкая. При всем своем позиционировании «воинов света» HackerOne все же оказались замешаны в скандале.
В декабре 2017 года Reuters сообщило, как 20-летний хакер взломал систему Uber и получил доступ к данным 57 млн водителей и клиентов компании. Uber заплатил ему $100 тыс. через платформу HackerOne, чтобы он удалил данные, которые угрожал опубликовать.
Uber потом объяснял, что решил заплатить выкуп таким образом, чтобы установить личность хакера.
Хотя HackerOne тогда ни в чем не обвиняли, CEO компании Мартену Микосу пришлось давать показания в Конгрессе США и объяснять, как работает их программа.
Тем не менее, основатели компании видят свою миссию в том, чтобы изменить отношение к хакерам в обществе. «Когда мы были детьми, это считалось незаконным. Мы хотим, чтобы хакеров начали воспринимать как хороших парней».
