Fotograf: HackerOne

”Bättre att hacka lagligt än att ha mardrömmar om att polisen ska slå in dörren”

33-årige prisjägaren Frans Rosén är dollarmiljonär med två mästarbälten i säkerhetshacking. Att hitta en läcka i systemen hos bolag som Google, GM och Spotify kan ge 30 000 dollar i belöning för en enda bugg.

En miljon etiska hackare anslutna och prispengar på 100 miljoner dollar – det är visionen bakom finländaren Mårten Mickos marknadsplats HackerOne.

Idén är att betala belöningar vid upptäckter av säkerhetshål hos anslutna företag – i dag är nära 1 500 anslutna, varav General Motors, Google, Starbucks och Spotify bara är några.

Nyligen stod det också klart att sex hackare som redan har blivit dollarmiljonärer på att upptäcka sårbarheter har anslutit sig till HackerOne.

Bland dem finns en svensk – Frans Rosén.

Kicken att upptäcka sårbarheter i system började med att han lyckades ta sig förbi skoldatorernas spärrar för att installera spel som Quake och Doom.

Därefter blev han så bra på att lura slussar i radioprogram att han fick börja använda fingerade namn.

Efter att ha startat bolag kring den egenutvecklade e-handelsplattformen Centra samt plockat in två personer som drev sidoverksamheten att upptäcka sårbarheter hos företag utvecklade bolaget en funktion som automatiskt upptäcker säkerhetshot. Den döptes till Detectify.

Starten skedde i samma veva som marknadsplatser som Bugcrowd och HackerOne såg dagens ljus.

Första belöningen i ett så kallat bugbounty-event kom när Frans Rosén upptäckte ett säkerhetshål hos betaljätten Paypal.

"Genom att jag var utvecklare och visste hur man byggde olika system kunde jag lukta mig till var systemets komplexitet ligger och var man kunde ha glömt att täppa till."

Enligt en artikel i Forbes kan de som letar säkerhetshål i system i jakten på belöningar tjäna uppemot 40 gånger så mycket som medianlönen för mjukvaruutvecklare i USA.

Ett exempel är att Apple har erbjudit belöningar på flera miljoner dollar till den som klarar avancerade hack kring Iphone.

Läs även: Från fotbolls-VM till heta skoindustrin – möt grundaren till sneakersmärket som skakar om en hel bransch

I takt med att Frans Rosén blev allt bättre på att upptäcka säkerhetshot började han blogga om att leta sårbarheter.

Det ledde i sin tur till att han blev ett eftertraktat namn när det gäller att hålla dragningar om säkerhetshot. I samband med en konferens berättade han om en allvarlig sårbarhet han hade upptäckt i utvecklingsverktyget Flask.

Då han använde sökmotorer som nyttjade metadata höll han på att tappa hakan när han insåg att 10 000-tals sajter mer eller mindre låg vidöppna för intrång utifrån.

Ett av dessa bolag var Uber.

Ett annat var Patreon, en crowdfundingsajt för youtubers.

Medan Uber agerade blixtsnabbt blev svaret från Patreon att man inte hann täppa till hålet förrän om fem dagar.

En stor fördel med att marknadsplattformar belönar upptäckter av säkerhetshot är att hackare som vill bevisa sig får chans att göra det på laglig väg i stället för att drömma mardrömmar om att polisen bryter sig in i bostaden, menar han.

"Det är häftigt att hitta sårbarheter och tala om att sårbarheter finns. Man gör något gott samtidigt som man bygger kontakter över hela världen."

Förutom att göra gott går det att tjäna grova pengar.

"Man får komma ihåg att jag har blivit dollarmiljonär utspritt över fem år. Men trenden är tydlig – belöningarna har skjutit i höjden på senare år."

Han och hans vapendragare Mathias Karlsson fick så sent som i augusti dela på en belöning på 145 000 dollar efter bara en dag vid Las Vegas-tävlingen H1- 702 (H1 står för HackerOne och 702 är stadens postnummer).

"Jag och Mathias teamar upp på allt. Det är mycket mer effektivt att inte spendera tid på samma saker. Det får oss att hitta dubbelt så mycket som andra."

Uppgiften gick ut på att attackera tre bolag och deltagarna fick två veckor på sig till förberedelser.

När tävlingen drog igång var de två så säkra på sin sak att de fokuserade attackerna på ett enda bolag – Verizon Media.

"Vi visste visserligen att Verizon hade anställda buggjägare, men på eventdagen hittade vi en så allvarlig bugg att hela incidentteamet på Verizon kopplades in. Som mest fick vi 32 000 dollar för en enda bugg."

Ryktet om svensk-duons förmåga att upptäcka säkerhetshot har vuxit sig så starkt att när amerikanska försvarsdepartementet ville få sitt flygvapen hackat bad myndighetens anställda att svenskarna skulle vara med trots att Sverige inte ens är ett NATO-land.

Genom att plöja ned det mesta av prispengarna i holdingbolaget Young Ventures har Frans Rosén kunnat starta fler bolag i exempelvis polska Wroclaw.

"Ja, du kan absolut säga att det är ny form av bootstrapping, haha. Men så fort vi hittar en driven vd till ett nytt bolag tar vi in mer kapital."

Även om det går att tjäna stora pengar som prisjägare vill han ändå passa på att höja ett varningens finger för att enbart ägna sig åt att leta säkerhetshål i system. Risken att gå in i väggen är stor.

"Eftersom du bara får betalt när du hittar saker råder extrem risk att bränna ut sig..."

Samtidigt skickar företag dagligen ut programuppdateringar och så länge det sker finns alltid mer eller mindre allvarliga säkerhetshål, enligt Frans Rosén.

Han understryker att även om prispengarna har skjutit i höjden och det går att tjäna betydligt mer än att jobba som programutvecklare är det bara ett extremt fåtal som gör riktigt stora pengar.

"Topp 300-400 tjänar kanske 30 000-40 000 dollar per år, medan de på plats 500 och nedåt snarare ligger på 10 000–30 000 dollar."

Även om Mathias Karlsson tillhör eliten gör det hårda arbetet med att leta säkerhetshot att han även jobbar som säkerhetsansvarig vid digitala brevlådebolaget Kivra.

Förutom HackerOne och Bugcrowd finns ytterligare tre stora plattformar. En av dem är Synack som skapats av avhoppare från mytomspunna National Security Agency, NSA, och som lockar med utbetalning inom 24 timmar.

Dessutom finns också två europeiska – Intigrity och Zerocopter. Bland andra är Ikea ansluten till den sistnämnda, enligt Frans Rosén.

Även om det ofta krävs goda tekniska förkunskaper att upptäcka buggar kan andra förmågor komma väl till pass i jakt på prispengar.

Ett exempel är en Uberchaufför i Las Vegas som upptäckte hur man kunde trigga igång funktionen som höjer priset vid trafiktoppar i Iphone-app och därmed ta mer betalt. Vid en tävling kunde han också identifiera ett logistiskt problem gällande hur lönedokument färdas mellan anställda och chefer.

"Missen gjorde att du kunde öka lönen utan chefens godkännande. Det var egentligen ingen teknisk bugg, utan snarare en sårbarhet i löneprocessen."

Frans Rosén minns hur han vann ett event 2017 efter att ha upptäckt ett allvarligt säkerhetshot hos det amerikanska molntjänstbolaget Zenifits.

"Vi tjänade cirka 20 000 dollar under eventet och jag fick ett mästarbälte."

Ett ytterligare exempel var när han som e-handelsexpert upptäckte så stora sårbarheter hos plattformen Shopify att han kammade hem 52 procent av prispengarna.

"Det blev total utklassning."

Läs även: Supertalangen som bygger hus av koldioxidnegativ industrihampa


För dig som prenumerant

VA KVINNA PODCAST

BLOGG

Följ chefredaktören på klimatresan

Under 2019 utmanar Veckans Affärer sina läsare att minska sina affärsresor med flyg med hälften. Chefredaktör Åsa Uhlin håller koll på hur det går med det och sitt eget mål att flyga mindre på bloggen VA:s klimatresa.