- HackerOne is een platform waar hackers geld kunnen verdienen met het opsporen van beveiligingslekken.
- Het bedrijf is opgericht door Jobert Abma en Michiel Prins uit Drachten.
- Het duo heeft al 110 miljoen dollar aan financiering opgehaald.
Jobert Abma (1990) en Michiel Prins (1990) groeiden op in het Friese Drachten. Daar begon hun carrière als ethische hackers op bescheiden wijze. Ze speurden met een Nokia N95 woonwijken af op onbeveiligde wifinetwerken, belden bij huizen aan en stelden wachtwoorden in. Voor 35 euro.
Met HackerOne verdienen ze tegenwoordig miljoenen. Sinds de oprichting van hun bedrijf in Silicon Valley in 2012 werken ze voor klanten als Facebook, Airbnb, Pornhub, Starbucks, Nintendo en het Amerikaanse ministerie van Defensie. Het Friese tweetal stelt geen wachtwoorden voor wifinetwerken meer in, maar helpt deze grote spelers gaten te zoeken in hun software en netwerken.
Ook doen Abma en Prins dit niet meer alleen. Ruim een miljoen hackers hebben zich geregistreerd op het platform van HackerOne. Daar hebben deze digitale premiejagers sinds 2012 al meer dan tweehonderdduizend kwetsbaarheden gevonden of verholpen.
De twee vrienden en co-founders van HackerOne zijn ver gekomen sinds hun jeugd in Friesland. Ze staan aan het roer van een unicorn, een bedrijf met een waarde van meer dan een miljard dollar.
Maar het tweetal blijft bescheiden. "Het is fijn dat er op een gegeven moment geld is", zegt Abma. "Maar het grotere doel is om samen het internet veilig te maken. Dat is voor ons een veel groter doel dan geld verdienen."
Business Insider sprak met de mede-oprichters van HackerOne over werken in Silicon Valley.
Sinds vorige maand biedt Amazons AWS Marketplace de diensten van HackerOne aan. Wat betekent dat voor jullie?
Prins: "Voor ons is het nice dat we aangesloten zijn bij Amazon. Want dat betekent ook dat we makkelijker in de klantenbasis van deze cloudservice van Amazon kunnen tappen. Veel van onze klanten gebruiken al AWS. Veel startups beginnen überhaupt alleen maar met AWS. Die hebben nooit een eigen service gehad."
"Deze partnership maakt het makkelijk voor onze potentiële klanten om met HackerOne te beginnen. Omdat je onze diensten via de Marketplace makkelijker kunt aanschaffen. Je kunt al je Amazon-diensten op één gedeelde rekening gooien. Servergebruik, opslag en meer komt allemaal netjes op een hoop terecht."
De cloud, Amazon, security issues. Allemaal buzzwords. Maar wat doet HackerOne eigenlijk?
Abma: "HackerOne is een platform dat hackers over de hele wereld verbindt met bedrijven. Die bedrijven schrijven beloningen uit voor het vinden van kwetsbaarheden in hun digitale systemen. Die hackers krijgen via ons een akkoord om die kwetsbaarheden te vinden. En als ze die vinden, krijgen ze betaalt. Naarmate de ernst van de kwetsbaarheid die ze hebben gevonden."
Dus op zoek naar gaten in de beveiliging van bedrijven. Loopt dat een beetje?
Abma: "HackerOne heeft meer dan tweeduizend klanten, van het Amerikaanse ministerie van Defensie tot aan Starbucks. Bijna een miljoen hackers hebben zich bij ons aangemeld om op zoek te gaan naar kwetsbaarheden. Elke drie minuten wordt er een kwetsbaarheid gemeld via het platform."
"De traditionele manier van testen naar kwetsbaarheden in digitale systemen werkt niet meer. Niet met de snelheid waarop tegenwoordig software wordt ontwikkeld. Er is een ontzettende toename in het aantal ontwikkelaars, alleen de groep securityprofessionals die de software kan testen is vele malen kleiner."
"Wij denken dat er altijd een tekort zal zijn aan die laatste groep mensen in je eigen organisatie. Wat nou als we die kleine poule kunnen verdelen over iedereen? Dat wij ons richten op het bouwen van een community van hackers die dat talent hebben. En dat bedrijven zich vervolgens geen zorgen meer hoeven te maken of ze die mensen intern hebben, maar wel alsnog die kwetsbaarheden kunnen ontdekken?"
HackerOne maakt de schaarse kennis van hackers dus voor meer bedrijven beschikbaar. Maar verdienen die hackers er wel wat aan?
Prins: "We hebben sinds 2012 al meer dan 120 miljoen dollar betaald aan onze hackers."
Abma: "Bedrijven schrijven best hoge geldbedragen uit, met name voor kritieke of ernstige kwetsbaarheden."
Kun je rijk worden met HackerOne?
Abma: "Vraag het aan de negen mensen die al miljonair zijn geworden."
Eind 2020 meldde HackerOne dat een van hun gebruikers voor het eerst in totaal 2 miljoen dollar bij elkaar heeft verdiend. Een van de HackerOne-miljonairs is de veroordeelde hacker Tommy DeVoss. Hij belandde als puber en jongvolwassene in de gevangenis voor het inbreken in computersystemen.
Abma: "Maar het duurt natuurlijk best wel lang om om daar te komen. En het wordt natuurlijk ook steeds lastiger, omdat de talentenpoule steeds groter wordt. Ik denk dat wat je bij HackerOne kunt verdienen uiteindelijk wel normaliseert. Maar goed, er zijn nu al negen mensen die dus wel zo goed zijn dat ze dus meer dan een miljoen dollar hebben verdiend."
Criminelen en inlichtingendiensten zijn altijd op zoek naar kwetsbaarheden. Jullie concurreren dus met boeven en spionnen...
Abma: "Apple nodigt hackers uit om in te breken in hun systemen. Van hen krijg je 250 000 dollar als je een kwetsbaarheid in de iPhone vindt. In het het criminele circuit wordt daar vele malen meer voor betaald. Een miljoen of meer. Voor precies dezelfde kwetsbaarheid. Wat criminele partijen ermee doen, weet je dan niet. Maar de vraag is: wil jij dat als hacker op je geweten hebben?"
"Nu bedrijven geldprijzen weggeven voor kwetsbaarheden zien we dat meer hackers het juiste willen doen. Daardoor drijven we wel de prijs op voor kwetsbaarheden in het zwarte circuit. Dat maakt het minder interessant voor een inlichtingendienst of een criminele organisatie om zo'n kwetsbaarheid te kopen. Zeker als de kans groot is dat iemand die kwetsbaarheid vindt en weer aan dat bedrijf rapporteert."
Jullie brengen hackers dus weer terug op het goede spoor? Ze mogen bij jullie dingen doen waarvoor ze, net als Tommy DeVoss, eerder in de gevangenis belandden.
Abma: "Er zijn heel veel mensen die nooit een kans hebben gehad, vanwege hun situatie, om geld te verdienen met hun talent. HackerOne doorbreekt die grenzen."
Prins: "We zien trouwens ook veel hackers die geld doneren aan goede doelen."
Abma: "Maar je ziet ze ook heel zorgzaam zijn. Ze betalen dingen voor hun ouders, studies die anders niet betaald kunnen worden."
Prins: "In het begin van HackerOne verstuurde ik een keer per week geld naar Egypte. Via Western Union. Dan ging ik met een zak cash naar zo'n postkantoortje. Dan maakte ik 800 dollar over naar iemand in Egypte. Dat deed ik weken achter elkaar. Op een gegeven moment vertelde die hacker me dat hij hiermee de medische kosten van zijn moeder in het ziekenhuis betaalde. Toen besloot ik vaker dan een keer per week naar de Western Union te lopen om die betalingen over te maken."
Waar is HackerOne over vijf jaar?
Abma: "Wat ik graag zou willen zien, is dat we dan rond de miljard dollar hebben uitbetaald aan onze hackers..."
Prins: "En nog meer miljonairs! Multimiljonairs!"
Abma: "Wat ik vooral hoop, is dat HackerOne het antwoord wordt op securityvraagstukken voor bedrijven. Waar ook ter wereld."
