‘Olivier Beg verdient duizenden euro’s als white-hat hacker. Hij kaart lekken in de beveiliging aan bij grote bedrijven.’ Zo begint het artikel op Hackflag.org in maart 2014, waarin de dan nog 17-jarige Olivier Beg vertelt hoe hij op deze manier al meer dan 19.000 euro bij elkaar kluste. Het artikel vertelt verder nog dat de Nederlandse puber bij Yahoo op nummer 1 staat in de hall of fame van hackers die lekken melden.
Hadrian werd donderdag uitgeroepen tot Startup van het Jaar. In de finale versloeg Olivier Beg drie andere startups. Lees meer over de winnende pitch »
Hackers jagen op bug bounty’s
Beg en Fischer kennen elkaar dan inmiddels een paar jaar, via een online forum voor hackers. ‘Responsible disclosure was toen net in opkomst’, vertelt hij. ‘Dat betekent dat je als ethisch hacker op zoek gaat naar kwetsbaarheden in de IT-infrastructuur van organisaties en dat vervolgens meldt. In het begin was dit nog een soort vriendendienst, pas later gingen we er ook geld mee verdienen.’
Bug bounty’s heten deze beloningen in hackersjargon. En met name Beg wordt hier in de jaren erna bedreven in. Met het toetsenbord als zijn pionnen en HackerOne als het speelveld.
Duizenden euro’s via HackerOne
HackerOne is het online hackersplatform dat (toevallig?) ook door Nederlandse ondernemers is groot gemaakt en in 2022 nog 49 miljoen dollar ophaalde.
‘Ik kan me de eerste keer nog goed herinneren. Rogier en ik hadden Yahoo gehackt en kregen in eerste instantie alleen een T-shirt als bedankje. Niet veel later kwam er op mijn verjaardag een e-mail binnen van HackerOne. Yahoo beloonde met terugwerkende kracht de ethische hackers die kwetsbaarheden hadden gemeld. We hadden onze eerste bug bounty te pakken.’
Lees ook: Het Challenger50-profiel van HackerOne
Beg verdient er lekker mee. Ruimschoots meer dan zijn vakkenvullende leeftijdgenoten bij Albert Heijn in ieder geval. Een bug bounty levert in die beginjaren al snel een paar duizend euro op. Google, Facebook, Microsoft; het wordt voor Beg een sport om ergens binnen te komen.
Wat is ethisch hacken?
Maar hoe werkt dat ethisch hacken nou eigenlijk? En wie bepaalt de premie die je daarvoor krijgt? De inmiddels 26-jarige Beg legt uit: ‘Je scoopt het internet af, op zoek naar assets. Dat kunnen domeinnamen zijn, subdomeinen, IP-adressen, laptops of servers. Gaandeweg stuit je dan bijvoorbeeld op een oude domeinnaam, die al lange tijd niet geüpdatet blijkt en daarmee een achterdeurtje openlaat.’
Lees ook: Hoe hacker Melanie Rieback de cybersecurity op zijn kop zette
‘Vervolgens maak je een proof of concept, een soort bewijs van het lek dat je hebt gevonden. Dit deel je op HackerOne, waarna het door de betreffende organisatie wordt gevalideerd. Die hanteert daarbij een simpele tabel: low, medium, high of critical. Afhankelijk van de ernst van het lek wordt de hoogte van de bug bounty bepaald.’
Hadrian: een beveiligingsmuur voor enterprise
Zo zijn we in dit verhaal beland bij de start van Hadrian, een naam die verwijst naar een Romeinse keizer die ooit een muur bouwde tussen Engeland en Schotland. Beg ziet regelmatig beveiligingslekken voorbij komen die hem verbazen. Zo simpel! Zo basic! Waarom krijgt deze enterprise het niet voor elkaar om een fatsoenlijke beveiligingsmuur op te tuigen?
Toch blijkt het antwoord op die vraag vrij simpel, stelt Beg, Head of Hacking bij Hadrian. ‘Een gemiddelde corporate heeft al snel een paar duizend assets in beheer. Van laptops tot IP-adressen van websites en IoT-apparaten. Het is onbegonnen werk om die handmatig te blijven controleren. Er worden vaak dagelijks nieuwe updates uitgevoerd. Dan kan het gaan om honderden, soms wel duizenden issues die je moet tracken.’
Realtime en automatisch risico’s opsporen
Beg benoemt hier het probleem dat Hadrian wil oplossen. De clouddienst analyseert en test de risico’s die grote bedrijven lopen op digitale rampspoed. Dat doet het niet van binnenuit zoals veel bestaande software, maar van buitenaf. Door de bril van een hacker, met onder meer gesimuleerde aanvallen. ‘Dat kunnen bestaande, onbekende en nieuwe aanvalshoeken zijn’, aldus Beg.
‘Waar je anders een afdeling met tien tot twintig specialisten voor nodig hebt om up-to-date te blijven met een voortdurend veranderende online omgeving, doet ons systeem dat realtime en automatisch.’ Hadrian dicht geen lekken, zei Beg tijdens zijn winnende pitch voor de Startup van het Jaar. Dat laat het bedrijf over aan de experts van zijn klanten.
Hadrian geeft het bedrijfsleven hiermee een extra wapen in de strijd tegen hackers. Niet het type premiejager zoals Beg dat voorheen was, maar zijn criminele soortgenoot die bedrijven bewust klem zet om snel veel geld te verdienen.
Funding binnen 2 maanden
Dat Beg dit bedrijf zou starten met zijn voormalige hack-maatje Fischer was overigens geen uitgemaakte zaak. De twee waren elkaar een beetje uit het oog verloren. Beg bleef jarenlang actief als premiejager, Fischer bouwde sinds zijn 17de met LiteBit een succesvol handelsplatform voor cryptocurrency.
‘Twee jaar geleden kwamen we elkaar weer tegen op LinkedIn. Ik deelde mijn idee en toen is het balletje snel gaan rollen. Via het netwerk van Rogier hadden we al na twee maanden een pre-seed ronde van anderhalf miljoen euro afgerond’, zegt Beg.
Lees ook: Hadrian heeft de investeerders voor het uitkiezen
Daarna ging het hard met Hadrian. En dat moet ook wel, want er zijn met name in Israël en de VS concurrenten die een vergelijkbare benadering hebben gekozen in de niche die inmiddels attack surface management is gedoopt. Het Israëlische Cycognito haalde bijvoorbeeld al 185 miljoen dollar op.
ABN Amro als investeerder
Over funding hebben Olivier Beg en Rogier Fischer ook niet te klagen. In de zomer van 2022 tankte hun bedrijf nog voor een bedrag van 10,5 miljoen euro bij. En begin van dit jaar werd een samenwerking met ABN AMRO Ventures aangekondigd. De bank investeert miljoenen in de startup – exact hoeveel is niet openbaar – en gaat de jonge ondernemers helpen bij de doorontwikkeling van het product.
Terwijl het grootste deel van de 65 werknemers van Hadrian de software doorontwikkelt, geeft het bedrijf van Beg nu vooral ook aan de sales- en marketingkant gas. Namen van klanten onthult Beg niet, maar verschillende grote corporates in de VS maken al gebruik van het Nederlandse platform. ‘Als we eenmaal toestemming hebben om een demo te doen, dan zijn ze vrij snel overtuigd.’
En in Nederland is ABN AMRO dus klant, nota bene één van de banken die Beg als puber wist te hacken. ‘Dat was destijds nog niet zo bijzonder hoor’, zo vertelt hij. ‘Ik ben in die periode bij alle banken wel binnen geweest.’
Lees meer over startups en scaleups:
- Investering in je startup? Dan ben je als ondernemer niet meteen schatrijk
- Hoe Startup van het Jaar Workwize een schaalbaar bedrijf bouwt
- Growth hacking: 10 tips om de groei van je bedrijf te versnellen