Silicon Valley-bloggen

Miriam Olsson Jeffery

Miriam Olsson Jeffery

Det har gått några dagar sedan uppståndelsen kring Detectify-grundarnas dataintrång i en av Silicon Valley-jätten Googles produktionsservrar.

– En kväll bestämde sig jag och Fredrik för att vi skulle sätta oss ner och göra ett försök med att hacka Google, säger medgrundaren av Detectify, Mathias Karlsson, i en intervju över telefonitjänsten Skype.

Han startade Detectify för två år sedan, tillsammans med Fredrik Almroth, David Hallenius och Johan Edholm. Med honom i rummet på företagets Stockholmskontor sitter Fredrik Almroth och vd:n Rickard Carlsson, och i dag har bolaget sex anställda.

Detectify

Mathias Karlsson och Fredrik Almroth är medgrundare till Detecitfy och Rickard Carlsson är vd.

”Rymdskeppet”, som de kallar Detectifys produkt, har Mathias Karlsson och Fredrik Almroth byggt på av och till sedan gymnasietiden. I dag är de 22 och 23 år gamla.

– Det är en extremt teknisk produkt i grunden, som vi har förenklat till en webbtjänst, säger Mathias Karlsson.

– Vi hade tidigt ett intresse för it-säkerhet och insåg att allt var trasigt på internet. De it-tjänsterna vi tittade på 2007 var inte så bra och därför ville vi bygga en själva i stället, säger Fredrik Almroth.

Han och Mathias Karlsson kallar sig själva ”etiska hackare”, vilket går ut på att man rapporterar ett hack till bolaget man gör intrång hos. De har hackat sig in flertalet av de stora tjänsterna på nätet. Facebook, Dropbox, Yahoo, Spotify, Netflix, Nokia, Linkedin, Soundcloud, Stripe, Twilio, Square – ja, listan kan göras mycket längre än så. Flera av bolagen har också utlyst tävlingar och utmaningar för att få folk att hacka sig in och rapportera felaktigheter.

– För en webbhackare blir det lite som en insamling av troféer. Man försöker ta alla. Det är roligt att hålla på med och även att kunna ge något tillbaka till tjänsterna vi använder. Det är också ganska bra marknadsföring för Detectify att vi kan våra grejer, säger Mathias Karlsson.

Strategin han och Fredrik Almroth använde sig av för att hacka Google, vilket är deras största och mest betydelsefulla hack hittills, var att hitta gamla och glömda system.

– Bland Googles tjänster hittade vi något som heter Toolbar Gallery. Det var jättetrasigt och lät oss efter vissa modifikationer läsa filer på Googles produktionsservrar, säger Mathias Karlsson.

– Vi fick hålla oss lite från att titta på fler filer och rapporterade istället in säkerhetsbristen till Googles säkerhetsteam som kom tillbaka till oss direkt, kollade på det och fixade, fortsätter han.

De fick 10 000 dollar (cirka 65 000 kronor) för besväret, vilket var en av de högsta ersättningarna hackare fick av Google under 2013. Hacket gjordes i slutet av förra året, men det tar ofta ett tag innan man får godkänt att berätta om det. Ersättningen var en bonus, men framförallt skapade hacket uppmärksamhet.

Mathias Karlsson och Fredrik Almroth skrev, som de brukar göra, ett blogginlägg på engelska om Google-hacket. I fredags förra veckan gick det varmt på sajten Hacker News, på internetforumet Reddit och fick 5 000 retweets (vidareskickade twitter-inlägg) på Twitter.

Över 100 000 personer har läst inlägget och runt 1 300 personer har efter det skapat ett konto på Detectify. Det fungerar så att en person som har en hemsida kan gå in på Detectify.com, registrera sig och skriva in sin webbadress. Då skannar ”rymdskeppet” genom sidan och talar om vilka säkerhetsbrister det har hittat.

– I helgen var det inte bara små hemsidor som använde tjänsten, utan även exempelvis finansbolag och flygbolag. Hacket har gett publicitet bland intressanta grupper och även Silicon Valley-bolag har skannat sina sidor, säger vd:n Rickard Carlsson.

Av de runt 1 300 testerna i ”rymdskeppet”, som gjordes under förra helgen och i veckan, visade 30 procent tecken på allvarliga sårbarheter som skulle kunna leda till att en extern person tar över sidan. 95 procent av sidorna fick flera varningar som skulle kunna skapa sårbarheter.

Än så länge tar inte Detectify något fast pris för webbtjänsten, som har varit tillgänglig på nätet i två år, utan jobbar med en modell som går ut på att man betalar det man tycker den är värd. Målet är att bygga en enklare tjänst till en marknad som annars inte har råd med it-säkerhet, medan många av de mer etablerade aktörerna riktar sig till storbolag.

– Tanken är att den information man får ut av rapporten ska vara så enkel att en webbutvecklare ska kunna fixa säkerhetsbristerna, säger Rickard Carlsson.

I helgen och under veckan har han och teamet försökt ta hand om nya kunder, och han säger att tio procent av dem har betalat en summa pengar för att använda tjänsten.

Men några stora pengar har Detectify långt ifrån tjänat, utan har levt på affärsängelkapital från entreprenörerna Piotr Zaleski och Frans Rosén som driver en e-handelsplattform. Det är också därför vd:n Rickard Carlsson anställdes för två månader sedan, för att börja jaga riskkapital och titta närmare på kommersialiseringen av tjänsten.

Google-hacket gav en skjuts på vägen och är ett litet steg mot att Detectify ska få fler användare och på så sätt försöka locka till sig investerare.

Om bloggen

 
Miriam Olsson Jeffery är SvD Näringslivs medarbetare i internetutvecklingens centrum - Silicon Valley i Kalifornien. Här föds det som påverkar våra nätliv och företagens affärer. Bloggen handlar om webbtjänsterna, användarna, entreprenörerna, pengarna och internetjättarna, men också om livet och stämningen i dalen.

Vill du kontakta Miriam?
Hon nås på mejl eller
Twitter: @miriamolsson
Fler bloggar