À 19 ans, Santiago Lopez comptabilise déjà un bénéfice total de plus d'un million de dollars provenant de la publication de vulnérabilités par le biais du programme de coordination des vulnérabilités et du programme de bugbounty HackerOne. Il est le premier à atteindre cette somme sur la plateforme.

En 2015, à l'âge de 16 ans, Lopez a commencé à apprendre le hacking. Il est autodidacte, son école de hackers étant Internet, où il a visionné et lu des tutoriels sur la manière de contourner les mécanismes de sécurité.

Les récompenses sont venues un an plus tard, lorsqu'il a reçu un paiement de 50 USD pour une vulnérabilité de type Cross Site Request Forgery(CSRF). Sa plus grosse prime était de 9 000 USD pour une Server-Side Request Forgery (SSRF).

Il a dépensé l'argent de son premier bugbounty sur un nouvel ordinateur et, accumulant de plus en plus de récompenses, il s'est tourné vers les voitures.

À l'heure actuelle, il a enregistré 1676 vulnérabilités distinctes pour des actifs en ligne appartenant à des sociétés renommées telles que Verizon, Automattic, Twitter, HackerOne, des sociétés privées et même au gouvernement des États-Unis. Lopez occupe le deuxième rang sur HackerOne.


En 2018, les chercheurs de HackerOne ont gagné plus de 19 millions de dollars en primes. Ce montant représente un bond considérable par rapport aux 24 millions de dollars versés au cours des cinq années précédentes. Cependant, l'objectif du programme est d'atteindre 100 millions de dollars d'ici la fin de 2020.

Le récent rapport de la plate-forme indique que plus de 300 000 pirates informatiques enregistrés ont soumis plus de 100 000 vulnérabilités valides.

La plupart des pirates (35,7%) consacrent jusqu'à 10 heures en moyenne par semaine à la recherche de bugs. Un quart d'entre eux travaillent entre 10 et 20 heures par semaine.



Selon l’enquête, les chercheurs les plus expérimentés en cybersécurité, représentent le pourcentage le plus faible. La majorité des pirates, 72,3% ont entre un et cinq ans d'expérience.

Plus de 72% des pirates interrogés par HackerOne dans le rapport s'intéressent à la sécurité des sites Web et 6,8% des API. Burp Suite est l'outil préféré des professionnels pour tester les applications Web.


Gagner de l'argent, être mis au défi et s'amuser sont les principales raisons du travail des chercheurs qui soumettent des bugs via HackerOne, tandis que les droits de se vanter tombent au dernier rang.

Le rapport 2019 de HackerOne montre également que la type de faille le plus trouvé est le Cross-Site-Scripting (XSS), suivi de l'injection SQL. Le rapport complet est disponible ici : https://www.hackerone.com/resources/...-hacker-report


Source et image : https://www.bleepingcomputer.com/new...-on-hackerone/