Als je wat van code weet en graag zoekt hoe je dingen nog veiliger kunt maken, dan kan je van je hobby misschien wel je werk maken. Als je veiligheidslekken of andere zwaktes kunt vinden bij grote techbedrijven, dan kun je rekenen op fijne bedragen. Maar is bug-bountyhunter worden echt de moeite waard?
Grote bedrijven maken graag gebruik van bug-bountyhunters omdat zij een soort extensie kunnen zijn van het security team op kantoor. Zo’n team houdt zich constant met bugs bezig, maar het is moeilijk om ze allemaal de baas te zijn. Vandaar dat zulke teams erg blij zijn als je het bedrijf met goede bedoelingen probeert binnen te komen. Als dat je lukt en je geeft dit aan bij het bedrijf, dan kun je rekenen op een beloning.
Vaak gaat het om geldbedragen, maar het kan ook een cadeaubon zijn of een keertje achter de schermen meekijken met het team. Hoe dan ook hebben de meeste techbedrijven in de gaten dat ze deze ethische hackers het beste te vriend kunnen houden. Google heeft zelfs een bughunter-universiteit om ethische hackers een plek te geven om niet alleen de zwaktes te melden, maar ook te leren hoe je nog betere rapportages kunt schrijven.
Hackers te vriend houden
Op zich kan het een heel aantrekkelijke verdienste bieden. Als je van puzzelen houdt, dan kun je het als een soort hobby doen: af en toe wat uren op zoek naar bugs en wie weet loop je er tegen eentje aan die je zomaar tienduizenden euro’s oplevert.
Sommige bug-bountyhunters maken er een sport van zoveel mogelijk zwaktes te vinden, terwijl anderen ook veel tijd besteden aan het zorgvuldig documenteren van een bepaald zwakte. De een is daarin grondiger, mogelijk ook om de kansen op een betere beloning te vergroten. Als je immers al veel werk verzet voor het bedrijf en het dit op een presenteerblaadje aanbiedt, dan maakt dat je werk een stuk aantrekkelijker.
Wat veel succesvolle bugjagers doen, is een reputatie opbouwen bij een bepaald bedrijf. Zeker als je steeds een duidelijke, to-the-point rapportage maakt en regelmatig komt met waardevolle informatie, krijg je een band met een bedrijf. Daarmee krijg je ook wat meer mogelijkheid tot meer beloning vragen, want je helpt het bedrijf al zeer regelmatig. Er zijn ook een heleboel bug-bountyhunters die banen aangeboden krijgen nadat ze hebben laten zien dat zij het vak in de vingers hebben.
Het is een vak dat zeer tot de verbeelding spreekt, omdat je zomaar de jackpot zou kunnen ‘winnen’. Alleen doe je dat hier niet op geluk, maar omdat je alles flink test en opschudt. Niet iedereen doet het per se voor die jackpot alleen. Er zijn veel hackers die het prettig vinden om niet alleen een bedrijf, maar ook zijn medemens te helpen de data veilig te houden. Dat moet een belangrijke drijfveer zijn, want je krijgt niet overal even makkelijk betaald.
Op naar een jackpot
Een hacker die een zwakte in Google Nest vond, kreeg hoewel het wereldnieuws was (hij kon zelfs de betalingsgegevens en identiteitskaarten van mensen inzien), geen cent van Google. Google verschuilde zich achter het excuus dat het hier ging om een derde partij die de software had gemaakt, dus niet Google zelf. Juist omdat geen enkele bug hetzelfde is, zijn er geen standaard prijzen, waardoor je nooit helemaal weet waar je aan toe bent.
Ook kan het zomaar zijn dat je een maand wat minder weet te vinden, terwijl je een andere maand een enorme klapper maakt. Kortom, het bestaan van een bug bountyhunter is in dat opzicht onzeker. Het is dan ook moeilijk te zeggen of het de moeite waard is. Het hangt immers van veel factoren af. Hoeveel tijd je hebt, hoe vaardig je bent, welke bedrijven je wil benaderen en waarmee je genoegen wilt nemen qua beloning.
Aan de andere kant kan het geen kwaad. Je leert jezelf gaandeweg steeds meer over verschillende ontwikkeltalen, je bent niet alleen voor jezelf bezig, maar helpt ook een bedrijf en zijn klanten ermee én je kunt er net zoveel tijd insteken als je zelf wil. Juist omdat het een geweldige hobby kan zijn - en mogelijk zelfs een goede opstap voor een carrière - blijft het het proberen waard.