Uno dei primi casi di utilizzo di un hack etico fu una “valutazione di sicurezza” condotta dalla United States Air Force, in cui il sistema operativo Multics fu testato per “un potenziale uso come sistema a due livelli (segreto/top secret)”. La valutazione ha determinato che mentre Multics era “significativamente migliore di altri sistemi convenzionali”, aveva anche “… vulnerabilità nella sicurezza hardware, sicurezza software e sicurezza procedurale” che potevano essere scoperte con “un livello relativamente basso di sforzo”. Gli autori hanno eseguito i loro test sotto una linea guida di realismo, in modo che i loro risultati rappresentassero accuratamente i tipi di accesso che un intruso potrebbe potenzialmente ottenere. Hanno eseguito test che coinvolgono semplici esercizi di raccolta di informazioni, così come veri e propri attacchi al sistema che potrebbero danneggiare la sua integrità; entrambi i risultati erano di interesse per il pubblico target. Ci sono diversi altri rapporti ora non classificati che descrivono attività di hacking etico all’interno delle forze armate statunitensi.
Nel 1981 il New York Times descrisse le attività dei white hat come parte di una “tradizione ‘hacker’ maliziosa ma perversamente positiva”. Quando un impiegato della National CSS rivelò l’esistenza del suo password cracker, che aveva usato sugli account dei clienti, la società lo castigò non per aver scritto il software ma per non averlo rivelato prima. La lettera di rimprovero affermava “La società si rende conto del beneficio per NCSS e infatti incoraggia gli sforzi dei dipendenti per identificare i punti deboli della sicurezza del VP, della directory e di altri software sensibili nei file”.
L’idea di portare questa tattica di hacking etico per valutare la sicurezza dei sistemi fu formulata da Dan Farmer e Wietse Venema. Con l’obiettivo di aumentare il livello generale di sicurezza su Internet e intranet, hanno proceduto a descrivere come sono stati in grado di raccogliere abbastanza informazioni sui loro obiettivi per essere in grado di compromettere la sicurezza se avessero scelto di farlo. Hanno fornito diversi esempi specifici di come queste informazioni potrebbero essere raccolte e sfruttate per ottenere il controllo dell’obiettivo, e come un tale attacco potrebbe essere impedito. Hanno raccolto tutti gli strumenti che avevano usato durante il loro lavoro, li hanno impacchettati in un’unica applicazione facile da usare e l’hanno data a chiunque scegliesse di scaricarla. Il loro programma, chiamato Security Administrator Tool for Analyzing Networks, o SATAN, fu accolto con una grande quantità di attenzione dei media in tutto il mondo nel 1992.