Deze jongeren hacken bedrijven als bijbaan (en dat is flink cashen)

  • Stephan Vegelien

  • Stephan Vegelien

Het begon als hobby, maar inmiddels kunnen ze er goed van leven. De 19-jarige Alyssa, de 21-jarige Olivier en de 22-jarige Gerben zijn hackers, maar dan legaal. In ruil voor een beloning hacken ze websites en systemen van bedrijven.

Gerben (22) hackt bedrijven voor geld

"Mensen kunnen zich niet voorstellen dat ik legaal het Amerikaanse ministerie van Defensie hack", zegt Alyssa Herrera. De naam voor deze nogal lucratieve bijbaan: bug bounty hunting. Bedrijven laten zich vrijwillig hacken, onder bepaalde voorwaarden. Vindt een ethische hacker een kwetsbaarheid, dan krijgt hij of zij daarvoor een beloning als hij of zij het netjes meldt. Dat kan gaan om een paar honderd euro. Of vele duizenden euro's per gevonden bug. "Vorige maand kreeg ik 40.000 dollar voor een aantal bugs die ik vond bij Oath (onder andere van Yahoo en Tumblr, red.)", vertelt Olivier. "Maar dat was wel een uitzondering."

Een aantal grote namen die aan bug bounty doen: Ikea, Marktplaats, Facebook en Twitter. Maar bijna alle grote techbedrijven en verschillende overheden hebben inmiddels een bug bounty-programma. "De hoogste bounty die wij nu hebben is 250.000 euro. Die is van chipfabrikant Intel", vertelt Michiel Prins, een van de oprichters van bug bounty website Hackerone. "Die krijg je als je een kwetsbaarheid vindt in hun computerchips."

Gerben (22): "Als je ineens betalinggegevens kan zien van mensen, dan denk je wel: dit is echt serieus"

Hoe dóen ze dat nou, dat hacken? "Allereerst breng je heel goed in kaart hoe het bedrijf er online uitziet", legt de 22-jarige Nijmeegse bedrijfskundestudent Gerben Janssen van Doorn uit. "Welke websites hebben ze bijvoorbeeld allemaal? Vaak is dat een kwestie van googelen." Vergelijk het met je huis: hackers zoeken een kwetsbare plek, bijvoorbeeld dat ene brakke raampje dat je al vijf jaar moet repareren.

Dan draaien de hackers verschillende programmaatjes die dat plekje testen op allerlei veelvoorkomende kwetsbaarheden: hoe kunnen ze daar misbruik van maken? "Zo kwam ik bij een Nederlandse bank binnen doordat ik een oude website opkocht die verlopen was", legt de Amsterdamse Olivier Beg uit. "Daar had ik een inlogschermpje voor internetbankieren op kunnen zetten."

Alyssa (19): "Ik heb nog nooit een echte baan gehad, behalve hacken"

De Californische Alyssa begon met bug bounty hunting toen ze 16 was. Ze is nu 19. "Het is een avontuur. Je kan het een beetje vergelijken met een archeoloog bij een opgraving. Je weet nooit wat je gaat vinden." Daarvoor was ze ook al bezig met hacken, maar dan illegaal.

"Op de middelbare school hielp ik bij het maken van malware (een kwaadaardig programma, red.). Ik werd een soort tussenpersoon voor criminele hackers om spullen aan elkaar te verkopen. Maar op een gegeven moment zag ik dat hackervrienden werden gearresteerd. Uit angst stapte ik over op ethisch hacken."

Ook Olivier begon toen hij nog op school zat. "Ik was 15", vertelt hij. "Ik zat wat te klooien met het maken van websites. Toen werd ik gehackt. Ik was echt kwaad. En benieuwd hoe ze dat hadden gedaan. Na een week kon ik zelf hacken." Hij leerde over responsible disclosure, oftewel: netjes melden als je een kwetsbaarheid hebt gevonden. Sommige bedrijven staan hackers toe om ze te hacken, als ze het maar netjes melden als ze een kwetsbaarheid vinden. De NOS doet dat ook.

Olivier: "Ik werd gehackt toen ik 15 was. Ik was echt kwaad. En wilde het ook leren."

Gerben begon met hacken toen hij 17 was. Inmiddels staat hij bij bug bounty-site Hackerone op nummer 9 van de wereldranglijst. Daar staan zo'n 164.000 hackers op. "Ik heb Marktplaats, Airbnb, Twitter en de Rabobank gehackt. Het is wel echt cool als je bedrijven hackt die je ook in het dagelijks leven tegenkomt."

"Je kan gemakkelijk 10.000 euro verdienen voor een dagje hacken", zegt Gerben. "Maar dat geeft wel een vertekend beeld. Je bent vaak lang bezig om een bedrijf in kaart te brengen, voor je kan beginnen met hacken. Daarnaast is het de jarenlange ervaring die je leert om kwetsbaarheden te ontdekken. En er zijn genoeg dagen dat ik niets verdien. Het is een beetje als schatzoeken dus. De ene dag vind je niets en de andere dag stuit je op een goudmijn."

Ik kan helemaal niet programmeren, maar wel hacken.

Alyssa

Vooral jongeren doen dit, valt Alyssa op. En het mooiste volgens haar: je kan het doen zonder ervaring en zonder diploma's. "Je kan er mee beginnen met tooltjes die je online kan vinden. Ik heb alles geleerd van blogs en rapportages van andere bugs die gevonden zijn. Ik kan helemaal niet programmeren, maar wel hacken."

Volgens Michiel Prins van Hackerone is 25 procent van de hackers nog student. Een groot deel zit zelfs nog op de middelbare school. Alyssa: "Het staat heel goed op je cv. De IT-sector kijkt vooral naar je skills, in plaats van je diploma." Wel is het veld gedomineerd door mannen, valt Alyssa op. "Ik wil laten zien dat vrouwen hier ook succesvol in kunnen zijn."

Deel artikel: