Annons

Han drar in miljoner på att hacka techjättarnas plattformar

BÄST. Frans Rosén har flera gånger utsetts till ”Most Valuable Hacker” av it-säkerhetsplattformen Hackerone.
BÄST. Frans Rosén har flera gånger utsetts till ”Most Valuable Hacker” av it-säkerhetsplattformen Hackerone. Foto: Oskar Omne
En 32-årig stockholmare tjänar miljonbelopp på att ta sig in i datorerna på företag som Spotify, Netflix och Uber. Di Digital har mött elithackaren Frans Rosén.
Facebook
Twitter
LinkedIn
E-post
Öka textstorlek

En fuktig morgon i oktober är Frans Rosén på väg till ett båtvarv på Långholmen i Stockholm. Där, bland containrar och rostiga propellerhuvuden, har han och hans kolleger hyrt kontor sedan 2013.

Ett flygplan dyker mot Arlanda flygplats medan den 32-årige hackaren berättar om hur han tillbringade många av sina nätter för några år sedan. Han satt framför datorn och letade frenetiskt efter säkerhetshål hos de största amerikanska techbolagen. Hade han tur kunde bolag som Netflix eller Slack tacka honom för insatserna på sina webbplatser. Och så kanske de skickade en tröja eller två.

”Jag fick en massa t-tröjor. Jag har aldrig haft så många.”

I dag, drygt fem år senare, har Frans Rosén gått från att vara hobbyhackare till någon som får betalt för att hitta fel. När vi vandrar genom båtvarvet på Långholmen har det bara gått några dagar sedan han vann sitt senaste mästarbälte.

Prispengen? En halv miljon kronor.

Näringslivet har inte alltid förstått sig på hackervärlden. I januari 2011 lyckas George Hotz, en datorintresserad 21-åring från New Jersey i USA med vildvuxet brunt hår, hacka sig in på Sonys spelkonsol Playstation 3. Samma George Hotz hade några år tidigare mottagit ett tackmejl från Apple- grundaren Steve Wozniak efter att han hade hackat den första Iphone-modellen så att den funkade med vilken teleoperatör som helst. Med Sony blev responsen en annan. Det japanska företaget svarade med en stämningsansökan.

Han satt framför datorn och letade frenetiskt efter säkerhetshål hos de största amerikanska techbolagen.

Kanske var det för att George Hotz hade informerat hela internet om hur de skulle göra för att själva hacka sitt Playstation.

Vid den här tiden fick inte ens välvilliga hackare någon kärlek. De som larmade företagen om buggar fick ofta inte ens ett svar. Då kunde hackarna välja att blogga om säkerhetsluckorna och därmed öppna för andra att exploatera dem.

Läs mer: EQT Ventures satsar på goda hackare – blir dörröppnare i Europa

Men de senaste åren har det hänt något. Först började hackare som påtalade säkerhetsbrister att hamna på företagens tacklistor. De kanske fick en t-tröja. Och för drygt fem år sedan började det löna sig att rapportera fel till företagen. Prisjakten hade börjat.

Frans Rosén stötte på de riktigt stora pengarna under en lång kväll i Las Vegas tidigt i augusti 2015.

Under den årliga konferensen Def Con  hör säkerhetschefen på ett amerikanskt techbolag av sig till den unge svensken. De är på en bar och dricker den whiskybaserade drinken Old Fashioned när säkerhetschefen frågar om Frans Rosén har några vänner i stan.

”Jag hyr en svit och så bjuder vi in ett gäng hackare dit. Vi hackar på mitt bolag och så betalar jag ut pengar”, säger han.

Någon timme senare befinner sig Frans Rosén och sju vänner till honom i en av sviterna på MGM Grand, den blåskimrande hotellbyggnaden med ett guldfärgat lejon utanför.

Det visar sig att säkerhetschefen har djupa fickor. Hans bolag hjälper arbets­givare att administrera sina anställdas förmåner. De är beredda att betala tiotusentals kronor för en enskild bugg, med villkoret att företagets namn förblir hemligt.

Efter några timmar hittar Frans Rosén ett hål i företagets databas som gör att han enkelt kan byta arbetsgivare för individer som finns i databasen. När det väl är gjort är det svårt för företaget att spåra vart den användaren tog vägen.

Det är en allvarlig säkerhetsbrist. Den anonyma chefen skickar honom 25 000 dollar via Paypal och tackar för insatsen.

De är beredda att betala tiotusentals kronor för en enskild bugg, med villkoret att företagets namn förblir hemligt.

När kvällen är slut har företaget betalat den lilla gruppen hackare över 100 000 dollar.

”Jag kom hem med 51 000 dollar efter sju timmars jobb”, säger Frans Rosén i dag.

Frans Rosén föddes 1986 och växte upp i Hammarbyhöjden strax söder om Stockholms innerstad. Pappa Lennart är från Stockholm, mamma Ann-Christine har kommit dit från Gotland.

I lågstadiet får Frans Rosén en Amiga-dator av sin mamma och 1997, när han är elva år, får familjen en pc med internetmodem. Han börjar lära sig animeringsspråket Shockwave med hjälp av en med­följande cd-rom-skiva. Senare döper mjukvarubolaget Adobe om Shockwave till Flash.

Läs mer: De är tech-Sveriges 40 hetaste serieentreprenörer under 40 

Under åren på Riddarfjärdens media­gymnasium i början av 00-talet är det inte datorerna som lockar. Frans vill i stället jobba med radio. Han ringer ofta in till de stora kanalernas lyssnartävlingar och inser snabbt vad som krävs för att komma med.

”Det gällde att alltid vara pepp. Så jag ringde och bara: ’Tjena! Hur är läget?! Jag tänkte festa, det är ju fredag!’”

Som tonåring sitter han ofta hemma med luren i enhandsfattning. När det tutar upptaget på radiostationen lägger han på med tummen och trycker direkt efteråt på återuppringningsknappen med lillfingret.

”Det var en gammal tonvalstelefon. Det där går nästan inte att göra i dag.”

Han ringer till Power, Rix FM och Lugna favoriter och vinner cd-skivor och konsertbiljetter. Kanalernas producenter börjar känna igen rösten. Då säger Frans Rosén att han heter Albin och bor på Gotland. Han fortsätter att kamma hem vinsterna.

Tonåringen har hackat systemet.

”Kicken fanns i känslan att jag hade förstått exakt hur man skulle göra för att komma med. Kanalerna fick ju vad de ville. De fick sitt innehåll”, säger han i dag.    

När Frans Roséns studiegrupp ska presentera en kortfilm på gymnasiet blir det hans uppgift att bygga en webbplats. Projektet sväller fort. Snart kan klasskamraterna både logga in och publicera egna inlägg. Efter gymnasiet fortsätter han att bygga webbplatser som konsult.

2008, när han är 22 år gammal, startar han konsultbolaget Young & Skilled ihop med den något äldre Piotr Zaleski. De bygger e-handels­sajter åt märken som danska Wood Wood och Piotrs eget klädmärke Julian Red. Så småningom ska de utvidga verksamheten till att bygga e-handelsplattformar under samlingsnamnet Centra.

Läs mer: De hackar systemet för att förvandla sig till supermänniskor 

Två år efter starten anställer Young & Skilled två programmerare, Fredrik Nordberg Almroth och Mathias Karlsson. Båda visar sig vara intresserade av it-säkerhet. Utanför arbetstid snickrar de på en robot som letar efter sårbarheter hos sajter, dator­program och appar.

Deras intresse smittar av sig och under 2012 börjar Frans Rosén själv leta efter sårbarheter. Det sker på kvällar och nätter, utanför hans dagliga jobb som utvecklare.

Mathias Karlsson och Fredrik Nordberg Almroth visar Frans Rosén vad han ska leta efter. Det handlar till exempel om att hitta möjligheter att injicera en egen bit kod i webbsajter eller program via så kallad ”cross site scripting”. I teorin kan hackare utnyttja bristerna för att sabotera produkten i fråga eller stjäla information om enskilda användare.

I mitten på 2012 hittar Frans Rosén ett ”cross site scripting”-fel på betalningstjänsten Paypals egen plattform. Hans kolleger bekräftar att det är en säkerhetsbrist. Dessutom en allvarlig sådan. Frans Rosén mejlar Paypal och påpekar saken och väntar i två månader på ett svar. När det till slut kommer ber kontaktpersonen om hans Paypal-adress. Det amerikanska bolaget vill skicka honom 750 dollar som tack.

”Jag trodde det var ett spam-mejl. Men det visade sig vara på riktigt”‚ säger Frans Rosén.

Frans Rosén mejlar Paypal och väntar i två månader på ett svar.

Överföringen blir hans första arvode som prisjägare, eller ”bug bounty hunter”. Marknaden är i sin linda och Frans Rosén är en ihärdig, nybliven hackare.

Snart har han hittat liknande sårbarheter hos en uppsjö av de största techbolagen. Facebook, Spotify, Netflix, Uber, Google, Apple och Microsoft är bara några exempel. Han tar emot en hel hög av t-tröjor, hamnar på tacklistor och får i vissa fall också betalt.

I december 2012 meddelar Facebook att de vill betala honom 3 500 dollar för en påtalad säkerhetslucka. Summorna blir allt högre. Men än så länge är Frans Rosén bara prisjägare på fritiden. På dagtid jobbar han fortfarande med e-handelslösningar. Dessutom är han rådgivare åt Detectify, ett bolag som bygger på hans kollegers felsökningsrobot.

I början av 2014 blir Frans Rosén och hans flickvän föräldrar. Då ser det ut som att buggjakten utanför arbetstid ska få ta en paus. Men det visar sig att deras lilla dotter tycker om att sova om nätterna, så Frans Rosén fortsätter att leta säkerhetshål på kvällar och nätter.

Var han än tittar hittar han nya byten. Han tar sig in bakvägen till en lösenordshanterare som utåt stoltserar med sin starka kryptering. Han upptäcker en sårbarhet hos Patreon, ett nätverk för mikrofinansiering, som är så allvarlig att det i teorin går att styra bolagets servrar och ladda ned all dess data. Det visar sig att någon redan har gjort det och spridit filerna via en fildelningssajt.

Frans Rosén mejlar Patreon men får inget svar. Först när Patreon har täppt igen hålet och meddelat alla sina medlemmar om intrånget hör han av dem. De tackar honom och erkänner att det var hans larm som var den utlösande faktorn.

”How Patreon got hacked”, lyder rubriken till ett blogginlägg på Detectifys hemsida, skrivet av Frans Rosén, som publiceras i oktober 2015.

”This is how you prevent this from happening to you.”

Snart har Frans Rosén upptäckt att flera andra bolag har samma sårbarhet som Patreon. Fler av dem – där­ibland Uber – betalar honom som tack för hjälpen.

Den karismatiske hackaren från Hammarbyhöjden är snart en av ett dussintal prisjägare i världen som drar in miljonbelopp varje år. Han och hans vän Mathias Karlsson – en annan stjärna inom samma område – bestämmer sig snart för att dela på prispengarna från alla större tävlingar.

I augusti 2017 är Frans Rosén tillbaka i Las Vegas. Inbjudan kommer från Hackerone, en plattform för profes­sionella felfinnare som rider på ”bug bounty”-trenden. Under tre dagar belägrar hackarna en takterrass på W Hotel. Utomhus­poolen är kaklad i blått men om kvällarna, när lamporna lyser under vattnet, skimrar den turkost.

Det har börjat regna pengar över prisjägarbranschen. Bara under denna tävling ska 2,3 miljoner kronor i prispengar betalas ut. Företag som vill bli hackade för att stärka sin beredskap står för notan. Tävlingens deltagare reser till Las Vegas från Marocko, Indien, Portugal och Sverige.

I potten ligger titeln som ”Most Valuable Hacker” och ett mästarbälte i boxarstil. Efter tre dagars tävlande lyfter en solbränd svensk i svart t-shirt bältet över sitt huvud.

Frans Rosén har vunnit sin första mästartitel.      

 

Båtvarvet på Långholmen badar i det mjuka ljuset. Solen har precis stigit ovanför tak­åsarna på andra sidan kanalen.

Tio meter från vattnet ligger en gulmålad byggnad som rymmer en handfull tech­bolag. Innanför ytterdörren är en robot fastmonterad på väggen.

Den ser ut som en skelettarm i metall och sitter precis intill knappen som låser upp dörren. På kommandot "/door” i chatt­verktyget Slack vaknar roboten till liv och trycker på knappen.

Läs mer: Ökad oro för cyberbrott hos svenska bolag

Young & Skilleds kontor är fullt av stationära och bärbara datorer med klistermärken. Stora ventilationsrör löper längs med taket och på Frans Roséns skrivbord ligger ett paket från Facebooks vr-bolag Oculus.

Det som började som en konsultverksamhet 2008 är nu ett techbolag med 24 anställda i Stockholm och polska Wrocław. Avknoppade Centra, ett bolag som bygger e-handels­plattformar från samma kontor, har 28 anställda.

Frans Rosén är teknikchef på både Centra och Young & Skilled. Han agerar också rådgivare åt Detectify, som växer stadigt och har flyttat till ett eget kontor i närliggande Hornstull.

Han ägnar fortfarande en del tid åt att leta säkerhetsbuggar. Alla pengar han drar in som prisjägare går till Young Ventures, hans och Piotr Zaleskis investeringsbolag som ska backa upp nya affärsidéer som uppstår i lokalerna på Långholmen.

Den som anordnar en säkerhetskonferens någonstans i världen har sannolikt bjudit in den svenske elithackaren som talare. Denna tisdag i oktober har han nyligen varit i Buenos Aires. Snart ska han till San Francisco och till Finland i liknande ärenden. Han charmar publiken lika lätt som han en gång lurade Stockholms radioproducenter.

Hans senaste prisjägartävling ägde rum i oktober, då Hackerone bjöd in till Montreal. Frans Rosén var inte på plats, utan letade efter hål i e-handelssajten Shopifys plattform från Stockholm.

Den som anordnar en säkerhetskonferens någonstans i världen har sannolikt bjudit in den svenske elithackaren som talare

Efter drygt två dagars arbete hade han bland annat hittat ett glapp mellan Shopify och en betalningsleverantör. Han kunde i teorin lura sajten att han hade köpt något och få det fraktat till sig utan att ha betalat.

När tävlingens vinnare ska presenteras är Frans Rosén hemma i södra Stockholm. Hans svärfar är på besök och sover i vardagsrummet. För att följa prisutdelningen tvingas Frans Rosén därför ställa sig med sin mobil på en parkeringsplats utanför huset.

Klockan är snart halv fyra och det är becksvart i Svedmyra. Frans Rosén följer prisutdelningen via Google Hangouts på sin telefon och börjar plötsligt hoppa och ropa i mörkret.

Frans Rosén blir den första som har utsetts till ”Most Valuable Hacker” två gånger. Hans kollega Mathias Karlsson flyger hem med mästarbältet till Stockholm.

Hittills i år har Frans Rosén tjänat nära 4 miljoner kronor på något som en gång bara var en hobby.

Facebook
Twitter
LinkedIn
E-post
Vi har förtydligat vår personuppgiftspolicy. Läs mer om hur vi hanterar personuppgifter och cookies