近期，漏洞悬赏平台HackerOne宣布，旗下两名会员通过参与漏洞赏金计划，帮助大量公司修复安全漏洞，各自累计获得超过100万美元的奖励。

其中一位是Mark Litchfield，绰号是“mlitchfield”，发现了来自全球大型公司的数百个软件漏洞，包括Dropbox、Yelp、Venmo、Starbucks、Shopify和Rockstar等。但我们今天要说的是另一位——Lopez，一名年仅19岁的黑客，绰号为“try_to_hack”。

Lopez自2015年起成为HackerOne的一员，这位年轻的黑客已经通过HackerOne发现了1600多个漏洞，包括Twitter和Verizon的漏洞，并且很擅长发现IDOR类的漏洞。

令人吃惊的是，Lopez竟然是自学成才！他自学了如何通过互联网资源和YouTube视频追踪漏洞，其中包括不安全的直接对象引用（IDORS）和跨站点请求伪造（CSRF）等一些赏金较高的漏洞。

从赚取CSRF安全漏洞的50美元开始，Lopez一点点地积累经验，曾为私有程序找出SSRF（服务端请求伪造）漏洞，获得了9000美元的报酬，这是他获得的最大一笔赏金。

在过去的三年中，Lopez将所有的时间投入挖掘漏洞的工作中，仅凭漏洞奖金就累计获得100万美元，这是布宜诺斯艾利斯软件工程师平均工资的40倍。

Lopez目前已经赚取超一百万美元，但他并不打算停止。这位年轻的黑客说：“看到我的工作得到认可和重视，我感到无比自豪。我不仅仅是为了钱，而是因为这项成就代表着我帮助公司和个人的信息比以前更安全。”

HackerOne在周五发布的2019黑客报告中，提及了很多关于漏洞赏金计划的有趣统计。超过30万名安全研究人员在HackerOne上注册，共挖掘出10万多个漏洞，发出4200万美元的奖金。

报告表示：“前几年的漏洞奖金加起来一共才1900万美元。而2018全年，就发出去1900万美元的奖励。”这些黑客中，大多数年龄在35岁以下，81%的人声称自己已经掌握了黑客知识。最后还有一个有趣的发现——来自非洲国家的黑客也很活跃。

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com