🗣️ Rozmowa z Mateuszem Nolko
– Kim Pan jest i czym zajmuje się Pan na co dzień?
Nazywam się Mateusz Nolko, mam 30 lat. Ukończyłem informatykę na Politechnice Białostockiej. Pracuję jako programista w firmie G-Soft, gdzie odpowiadam za rozwój systemów. Po godzinach zajmuję się swoją pasją – etycznym hakowaniem i badaniem bezpieczeństwa systemów.
– Etyczne hakowanie – co to właściwie znaczy?
To nic innego jak poszukiwanie luk w zabezpieczeniach systemów, aplikacji czy serwisów. Firmy na całym świecie prowadzą programy bug bounty, w ramach których badacze mogą testować zabezpieczenia, zgłaszać błędy i w zamian otrzymywać nagrody – pieniężne albo rzeczowe.
– Jak Pan trafił do tego świata?
Całkiem przypadkiem. W marcu 2021 roku założyłem konto na platformie HackerOne, która zrzesza zarówno etycznych hakerów, jak i globalne korporacje. Już po tygodniu miałem na koncie pierwszą potwierdzoną lukę. Od tamtej pory to moja codzienna pasja.
– Jakie ma Pan na swoim koncie osiągnięcia?
- Trzykrotnie byłem pierwszy w rankingu HackerOne w Polsce – w latach 2022, 2023 i 2024.
- Napisałem ponad 1100 raportów o potencjalnych błędach bezpieczeństwa.
- Moje odkrycia zostały wpisane do globalnego rejestru CVE – np. dla GitLaba.
- W 2023 roku GitLab wyróżnił mnie jako osobę, która znalazła najwięcej potwierdzonych błędów bezpieczeństwa dotyczących tej korporacji.
- Reprezentowałem Polskę w Mistrzostwach Świata organizowanych przez HackerOne – nasza drużyna doszła do ćwierćfinału.
- Znalazłem błędy m.in. dla NASA, Departamentu Obrony USA, GitHub, Amazon, Netflix czy Adobe.
– Czym jest CVE, o którym Pan wspomniał?
To wpis do globalnego rejestru podatności, czyli błędów bezpieczeństwa. Jeśli luka jest poważna i może mieć wpływ na użytkowników na całym świecie, trafia właśnie do bazy CVE.
– Jak wygląda Pana typowy dzień?
Pracuję od 7:00 do 15:00 w G-Soft. Potem wracam do domu, jem obiad i około 15:20 siadam do szukania błędów bezpieczeństwa w systemach światowych korporacji. Zajmuje mi to zwykle do 22:00 lub 23:00, oczywiście z przerwami.
– Na jakiego typu błędach skupia się Pan najbardziej?
Przede wszystkim na wyciekach danych, eskalacjach uprawnień, błędach w logice biznesowej i przypadkach nieautoryzowanego dostępu.
– Wspomniał Pan o zawodach w etycznym hakowaniu. Jak one wyglądają?
To wieloetapowe rozgrywki. Każdy etap trwa 10 dni. W drużynie jest 20 hakerów, którzy mają za zadanie znaleźć jak najwięcej luk w systemach wybranych firm. Każda luka ma swoją punktację zależną od wagi problemu. My przeszliśmy eliminacje, fazę grupową i starcie 1:1 z Arabią Saudyjską, które wygraliśmy. Odpadliśmy dopiero w ćwierćfinale z Egiptem – minimalną różnicą punktów.
– Jakie są nagrody w bug bounty?
Zazwyczaj pieniężne – od 50 dolarów do nawet 50 tysięcy, a w niektórych programach ponad milion dolarów. Czasami też tzw. „swag”, czyli koszulki, bluzy, plecaki od firm.
– Jakie ma Pan plany na przyszłość?
Chcę nadal rozwijać się w cyberbezpieczeństwie i wzmacniać pozycję Polski w światowych rankingach. Marzy mi się, żeby jeszcze więcej młodych ludzi z naszego regionu odkryło tę ścieżkę.
📌 Najważniejsze fakty
- 👨💻 Programista z Suwałk, etyczny haker
- 🏆 Trzykrotny lider polskiego rankingu HackerOne
- 🌍 Znajdował błędy m.in. dla NASA, DoD USA i GitHub
- 🕵️ Ponad 1100 raportów o lukach bezpieczeństwa
Napisz komentarz
Komentarze