Les presento a HackerOne, una plataforma que facilita la comunicación entre el equipo de seguridad de una empresa con profesionales o con gente afín a la seguridad informática osea hackers.
En HackerOne se han expuesto y corregido miles de fallos y se han movido más de 2.49 millones de dólares en rencompensas.
Funciona a modo de «Broker» para reportar bugs y ganar dinero cobrando a la empresa afectada por ello. ¿Suena como a extorsión verdad?
Entre las empresas que podemos encontrar dentro de HackerOne está Twitter, Yahoo!, Dropbox, la propia HackerOne inclusive y recientemente Uber.
¿Cómo funciona?
Del dinero que se paga por los fallos, un 20% se lo lleva HackerOne, como broker de reporte. A cambio de ese 20% HackerOne se hace responsable de que al hacker le llegue todo el dinero, y el hacker se evita pagar impuestos y otras cosas impuestos.
El dinero que ganas lo puedes pasar a una cuenta de Paypal, un monedero de BitCoins o donarlo a una organización de caridad, y la edad mínima para cobrar una recompensa es de 13 años; si hackers desde niños.
El caso Uber y HackerOne
Hace varios días se descubrio que cerca de 57 millones de cuentas de usuarios y conductores se vieron comprometidas en un fallo de seguridad y la compañía mantuvo oculto por meses.
La empresa admitió su error por no volver público el asunto, pero desde entonces se han conocido pocos datos adicionales sobre el incidente. Hasta ahora.
El hacker es un muchacho de 20 años, cuya identidad aún se mantiene anónima, es residente del Estado de Florida, en EU y vive aún con su madre. De hecho el proyecto de hackear a Uber era parte de un plan para ayudar a pagar las cuentas de la casa.
Este chico fue ayudado por otro hacker, al que le pagó por robar la cuenta de acceso de GitHub con las que inició todo.
Después, el hacker usó esas credenciales para entrar a la base de datos de Uber alojada con Amazon Web Services, para robar la información de 57 millones de cuentas, contactar a Uber para demostrar el acto y exigir un rescate.
Uber se encuentra afiliada a HackerOne y uso esta vía para hacer el pago de USD $100.000 como si se tratara de un «fallo de seguridad» y no un robo de datos. Una vez completado el cobro, el joven hacker «destruyo» los datos, firmando un Acuerdo de No Divulgación, para «enterrar» todo.
¿Nada mal verdad?
