:format(webp)/s3/static.nrc.nl/images/gn4/stripped/data114685669-4f9220.jpg)
Een pijnlijke, maar eenmalige gebeurtenis. Zo omschreef topman Marten Mickos vorig jaar het besluit van HackerOne om zo’n vijftig man te ontslaan, 12 procent van het personeel. Zo’n maatregel was nooit eerder getroffen in de korte geschiedenis van het platform dat digitale ‘kwetsbaarheden’ bij bedrijven zoekt en oplost met hulp van vele duizenden ‘ethische’ hackers, die met goede bedoelingen dus.
HackerOne is de jongensdroom van Jobert Abma (33) en Michiel Prins (34) uit het Friese Drachten. Ooit zelf begonnen als ethische hackers in Nederland, richtten ze in 2012 in Silicon Valley het bedrijf op. Dat deden ze samen met Alex Rice, toen hoofd productbeveiliging bij Facebook, en Merijn Terheggen, een Nederlandse ondernemer die al langer actief was in Silicon Valley. HackerOne haalde sindsdien bij investeerders 160 miljoen dollar op. Financieel onderzoeksbureau PrivCo taxeerde het bedrijf na de laatste investeringsronde, begin 2022, op een waarde van 100 tot 500 miljoen dollar. HackerOne zelf wil desgevraagd geen omzet of andere financiële gegevens bekendmaken.
Inmiddels is het een van de grootste en meest bekende hackerplatforms, met vierhonderd werknemers en ruim duizend klanten. Tot de opdrachtgevers behoren het Amerikaanse ministerie van Defensie en miljardenbedrijven als autofabrikant General Motors, zakenbank Goldman Sachs, taxi-app Uber en luchtvaartmaatschappij Lufthansa.
HackerOne koppelt zijn hackersreservoir aan deze klanten om zwakke plekken te vinden in hun software en netwerken. Iets meer dan een miljoen (potentiële) hackers hebben zich aangemeld op het platform, al bevindt de meerderheid zich volgens het bedrijf nog „in een leermodus” omdat ze vooral trainingen volgen. Als hackers eenmaal via het platform beveiligingsfouten opsporen, krijgen ze bug bounties. Daarbij geldt: hoe kritieker de bug, hoe hoger de premie die een bedrijf betaalt. HackerOne zelf rekent daarbovenop 20 procent commissie.
De meeste beloningen voor de hackers liggen tussen 1.000 en 3.000 dollar, met uitschieters tot 100.000 dollar, afkomstig van bedrijven in de cryptosector. De inkomsten van de grootste hacktalenten kunnen zo flink oplopen: 35 aangesloten hackers hebben minstens 1 miljoen dollar verdiend, één van hen zelfs ruim 4 miljoen. Het platform keerde in totaal ruim 300 miljoen dollar uit, zo maakte het vorig jaar bekend.
Hoewel oprichters Prins en Abma al enige tijd niet meer de dagelijkse leiding hebben, zijn ze op strategisch en technisch vlak nog nauw betrokken bij het platform, en bij het bedenken van nieuwe hackdiensten. Ze ontvangen de verslaggever in San Francisco, waar hun hoofdkantoor formeel is gevestigd, in een „random WeWork-hokje”, zoals Prins het omschrijft. HackerOne huurt hier aan Montgomery Street, in het financiële centrum, alleen nog werkruimte bij een flexkantoor van WeWork als medewerkers daar behoefte aan hebben. De meesten werken op afstand vanuit de VS, het VK en Groningen, waar het enige fysieke kantoor staat. Daar werken 28 mensen.
De verklaring die Prins en Abma geven voor de reorganisatie, sluit aan bij die van topman Mickos. „Lenen van geld was goedkoop en het bedrijf had in 2022 veel nieuwe mensen aangenomen. Als je dan niet de verwachte groei realiseert, moet je bijsturen”, zegt Abma.
Concurrenten als Bugcrowd en Intigriti werken net als jullie. Hoe kun je die voor blijven?
Abma: „We zijn het grootste platform, hebben de meeste data over kwetsbaarheden en het grootste bestand aan hackers. Klanten kunnen profiteren van dat netwerk en alle fouten die al via ons platform gevonden zijn.
„Veiligheid is op het internet een groot probleem. Dus ik geloof ook niet dat het goed zou zijn als HackerOne als enige oplossingen zou bieden. Concurrentie is gezond.”
Over de toekomst maken ze zich geen zorgen, zeggen ze. Prins: „Ook toen in 2022 bij veel bedrijven de hand op de knip ging, hebben wij de securitybudgetten van klanten niet aantoonbaar zien krimpen. Sterker: nu iedereen AI toevoegt aan producten, wordt het belang van veiligheid alleen maar groter.”
De term is weer gevallen. In Silicon Valley kun je nauwelijks een gesprek voeren zonder dat kunstmatige intelligentie aan de orde komt. Veel bedrijven ervaren druk om snel generatieve AI-technologie (modellen die nieuwe teksten en beelden genereren, zoals ChatGPT) te omarmen, om hun productiviteit te verhogen en zo concurrerend te blijven. Met alle risico’s van dien, zegt Prins. „Het is een nieuwe technologie waar bedrijven nog niet volledig grip op hebben. Maar er is wel druk van klanten: je moet iets met AI doen. Dan bouwen ze heel snel iets, en dat zit weer vol kwetsbaarheden.”
Een bedrijf dat de hackers van HackerOne op dit vlak inzetten is Snap, de bedenker van Snapchat, een app waarmee met name tieners foto’s en video’s delen. Snap bouwt AI-modellen die tekst in beeld omzetten. Abma: „Je wilt natuurlijk niet dat ongepast of schokkend materiaal kan worden gegenereerd. Maar hoe test je dat? Daar heb je óók hackers voor nodig. Dit wordt steeds belangrijker en wij zijn nu de enige partij die het talent in huis heeft om zo’n model te laten testen.”
Is AI ook een bedreiging voor hackers? Kan die technologie straks misschien zelf kwetsbaarheden vinden?
Prins: „Hackers gebruiken zelf AI. Ver voordat iedereen van ChatGPT had gehoord, waren zij al bezig hun eigen vaardigheden en mogelijkheden met behulp van AI te vergroten.”
Abma: „Die 35 mensen die tot nu toe miljonair zijn geworden op ons platform, gebruiken echt allemaal al AI om efficiënter en effectiever te zijn.”
Op welk vlak verwachten jullie nieuwe groei?
Prins: „We zien kansen bij klanten die AI uitrollen, wat beveiligd moet worden. En er ligt natuurlijk ook een grote kans op ons eigen platform, waar je het meldingsproces van bugs grotendeels kan automatiseren.”
Abma: „We hebben hackers uit 140 landen, en vaak is Engels niet hun moedertaal. Soms kunnen ze de fout wel vinden, maar weten ze niet hoe ze die kunnen omschrijven. Daar liggen zoveel kansen. Ik heb me de afgelopen jaren eigenlijk alleen maar met AI beziggehouden.”
Wat als AI straks zelf complexe kwetsbaarheden kan vinden? Of daarbij creatiever wordt dan welke hacker dan ook?
Abma: „Het is altijd een combinatie geweest van mens en machine. Maar het wordt wel steeds makkelijker om met behulp van AI fouten te vinden. Waar mensen goed in zijn, is het vinden van nieuwe categorieën datalekken, de unknown unknowns. Machines, zelfs met AI, gaan die fouten de komende drie tot vijf jaar niet vinden.”
Prins: „AI die creatiever is dan mensen, dat zie ik niet gebeuren. Maar deze technologie gaat wel grenzen verleggen en hackers helpen de meeste verfijnde nieuwe fouten te vinden. Het fruit plukken dat echt hoog in de boom hangt, blijft mensenwerk.”