Der er gode penge at tjene som etisk hacker. Virksomheder som Facebook, Google og Microsoft driver alle bug bounty-programmer, hvor de tilbyder anstændige udbetalinger for at finde huller i deres software, der kræver øjeblikkelig opmærksomhed. Belønningen varierer afhængigt af virksomheden, softwaren og fejlens alvor - men en bug-dusørjæger opdagede, at Googles egen fejlsporingssoftware var en sand skatkammer af mulige belønninger, som indbragte sig selv $15.633,70 fra tre forskellige fejl.
Du kan læs Alex Birsans fulde beretning her for det nøgne af, hvordan han formåede at få adgang til "Google Buganizer", men her er det grundlæggende. Den første udnyttelse, som Birsan fandt, var, at for at få adgang til Googles interne fejlsporingstjenester skulle han have en Google-e-mailadresse, som er låst for ikke-Googlere. Han opdagede, at ved ikke at klikke på bekræftelseslinket, når han tilmeldte sig en almindelig Google-konto, var han i stand til at ændre e-mailadressen til en @google.com uden begrænsninger. Dette gav ham ikke adgang til Buganizer, men gav ham andre usædvanlige privilegier - som at kunne hylde en Google campus taxa. Denne fejl blev rettet på 11 timer og gav Birsan $3.133,70.
Dernæst forsøgte Birsan at lytte til fejldiskussioner ved at spille en række af dem i hovedrollen på trackeren. Dette gjorde det muligt for ham at aflytte lidt - men kun i spørgsmål om oversættelser, hvor folk ville diskutere "de bedste måder at formidle betydningen af en sætning på forskellige sprog." Til begrænset brug for en hacker dengang, men stadig nok til at give ham en ekstra $5.000, når Google havde lukket fejlen i fem timer senere.
Se relateret
Endelig ramte Birsan moderladningen. Efter at have rodet med Buganizer's API, afslørede han en måde at modtage alle de saftige detaljer om en fejl ved at anmode API'et om at fjerne en e-mailadresse fra en problemtråd. Denne mest alvorlige fejl blev lukket inden for en time efter Birsan rapporterede det og gav ham hele $7.500.
"Da jeg først begyndte at jage efter denne informationslækage, antog jeg, at det ville være Googles hellige gral, fordi den afslører oplysninger om hver anden fejl," skriver Birsan. "Men efter at have fundet det, indså jeg hurtigt, at virkningen ville blive minimeret, fordi alle de farlige sårbarheder alligevel bliver neutraliseret inden for en time. Derfor er jeg meget glad for de ekstra penge, og jeg ser frem til at finde fejl i andre Google-produkter."
Tre sårbarheder er rettet, og en etisk hacker er $15.633,70 rigere. Alle vinder.
Billeder: Justin Raycraft og Samuel Johnson brugt under Creative Commons
