Mathias Kujala var bara 13 år när han förra året lyckades hitta en säkerhetslucka i Googles översättningstjänst Translate. För besväret belönades med 3 000 dollar, ungefär 20 000 kronor, av företagsjätten. Senare i veckan ska ha dessutom få pris av Symantec.

– Jag hade länge velat hitta en större bugg på någon hemsida och letade just efter sidor som delade ut pengar för att man hittade buggar. Jag hade läst på och lärt mig mycket om just den här typen av buggar och så fort jag varit inne på en sida försökte jag hitta just sådana. Intresset för att leta efter säkerhetsbrister har jag haft länge, säger Mathias Kujala.

Läs även: Så belönas de som attackerar företag

Säkerhetsluckan i Google Translate var av typen cross site scripting, eller xss som det förkortas, och kan i värsta fall leda till att känsliga uppgifter läcker ut.

När Mathias Kujala hade hittat luckan blev han exalterad och berättade genast för sina föräldrar. Därefter kontaktade han Google genom ett formulär där han fick fylla i sina uppgifter. Google är nämligen en av dem som erbjuder ersättning utifall att man skulle hitta brister i deras system.

– Men det tog rätt så lång tid innan jag fick ersättning, det var en hel del mejlande innan det. Dessutom var jag inte så smart eftersom jag berättade för Google att jag skrivit på ett forum för hackers om hur jag upptäckte buggen. Google blev de lite upprörda och sa att det inte var bra att jag avslöjade detta för andra, men eftersom det var första gången det skedde så skulle de göra ett undantag och ge mig ersättning ändå.

Mathias Kujala satt hemma och åt frukost när han fick beskedet att han skulle få ersättning.

– Jag kollade mejlen och först trodde jag att det var något annat men sedan såg jag att det var från Google. Jag blev jätteglad över det.

Även säkerhetsföretaget Symantec uppmärksammar Mathias Kujala med det nyligen instiftade priset Security experts of the future. Åsa Edner, vd för Symantec Sverige, förklarar att tanken med priset är att sätta fokus på unga människor för deras upptäckter inom it-säkerhet.

– Mathias är ett fantastiskt gott exempel på unga människor som kan saker som den äldre generationen kanske inte kan. Han är en lugn och ambitiös person. Det var inte några konstigheter för honom, han insåg nog inte att det han hade gjort var så speciellt, säger hon.

Förutom att Mathias Kujala får ta emot sitt pris under semenariedagen Run business run nu på torsdag kommer han att få tillbringa en heldag tillsammans med Symantec.

– Det är viktigt för oss att se på vilka personer vi kan attrahera till oss framöver. Vi kan lära mycket av varandra. Förhoppningen är att vi ska fungera lite som en mentor, säger Åsa Edner.


Intresseard av it-säkerhet? Missa då inte Säkerhetsdagen den 20 februari då vi återigen samlar 250 personer för inspiration, kunskapsutbyte och nätverkande. Läs mer och anmäl dig här!

Fakta

Cross Site Scriping är en metod för sabotage av webbsidor som utförs av besökare på webbsidan. Besökaren utnyttjar möjligheten att skicka data till webbservern (till exempel genom att fylla i personuppgifter på en sida) till att överföra programkod (skript eller annan kod) som servern sedan exekverar. I stället för att bara fylla i sitt namn i ett fält matar sabotören alltså in html-kod eller ett skript. Beroende på vilka svagheter som finns i serverns säkerhetssystem kan detta leda till mer eller mindre allvarliga problem. Den engelska beteckningen cross-site scripting syftar på en av de första formerna av webbkodinjektion, men det finns varianter av webbkodinjektion som varken är cross-site eller skriptbaserade. Förkortningen xss infördes för att man ville undvika förväxling med css i betydelsen cascading stylesheets.