«راورو»، پلتفرم باگ بانتی که فعالیت خود را از سال ۹۹ آغاز کرده، در گزارش سالانه خود به ارائه آمارهایی درباره آسیبپذیری در ایران و فعالین این حوزه پرداخته است. در این گزارش تأکید شده که تاکنون ۲۸۷ شکارچی آسیبپذیر در این پلتفرم حضور داشتهاند و بیش از ۳۲۰۰ گزارش آسیبپذیری گزارش شده است و درمجموع ۴۵ کسبوکار امنتر شدهاند.
به گزارش سرویس اخبار امنیت سایت شات ایکس و به نقل از دیجیاتو این گزارش همچنین اعلام کرده که در سال گذشته بیش از ۲ میلیارد تومان بانتی به هکرهای کلاهسفید پرداخت شده که میانگین پرداختی هر میدان نیز رقم ۴۷ میلیون تومان بوده است. براساس گزارش راورو، ۴۶ درصد شکارچیان آسیبپذیری ۲۵ تا ۳۴ ساله هستند و تنها ۲.۵ درصد این افراد را زنان تشکیل میدهند.
در این گزارش، با نگاهى آمارى به زبان اعداد، ارقام و نمودارها، آنچه که تابهحال در داستان پلتفرم باگ بانتى راورو گذشته، روایت شده است. همچنین با ارائه نقلقولهایی برخاسته از تجارب افرادی که در هوای حوزه امنیت سایبری زیستهاند، اطلاعات تکمیلی به مخاطب داده میشود.
تا به امروز در باگ بانتی راورو ۲۸۷ شکارچی آسیبپذیری بهصورت فعال حضور داشتهاند، ۴۵ کسبوکار امنتر شدهاند، ۳۲۰۰ آسیبپذیری گزارش شده و بیش از ۲ میلیار تومان بانتی پرداخت شده است.
آمارهایی از شکارچیان امنیت در ایران
بنابر این گزارش، بیشترین شکارچیان باگ بانتی بین ۲۵ تا ۳۴ سال سن دارند و جوانترین این شکارچیان از تهران بودهاند.
نسبت تعداد شکارچیان آسیبپذیری خانم به آقا در جامعه بینالمللی امنیت سایبری همواره کم بوده اما این نسب در ایران خیلی خیلی کمتر است.
براساس گزارش راورو، استانهای خراسان رضوی، مازندران، تبریز، اصفهان، فارس، خوزستان، قم، گلستان و مرکزی بهترتیب بیشترین شکارچیان آسیبپذیری را دارند؛ این درحالی است که در این میان فقط ۲۹ درصد از شکارچیان امنیت از ساکنین تهران هستند.
بیش از ۸۰ درصد از شکارچیان راورو کمتر از ۱۵ سال سابقه کار دارند و بیش از ۹۰ درصد از آنها همزمان مشغول به باگ بانتى و تست نفوذ هستند، اما تنها 10 درصد از این شکارچیان آسیبپذیری، بیش از ۵۰ میلیون تومان درآمد داشتهاند.
در این گزارش «على جلالنژاد»، مدیر تضمین امنیت ایرانسل، از عدم امکان استخدام متخصصان امنیت در شرکتها بهعلت ذهنیت کنجکاو آنها میگوید: «هر قدر هم که شرکت ما شرکت بزرگى باشد، امکان ندارد که ما بتوانیم جامعه خیلى بزرگى از متخصصان امنیت و شکارچیان آسیبپذیرى که ذهنیت کنجکاوى دارند را استخدام کنیم و از نگاهشان بهره بگیریم. هر قدر هم تیم امنیت بزرگى داشته باشیم، بالاخره افرادی هستند که دیدگاه، خلاقیت و سناریوهاى متفاوتى در ذهن دارند که ما به آنها دسترسى نداریم.»
در این میان بهنظر میرسد که کسبوکارهای مربوط به اینترنت و سرویسهای اینترنتی حضور پررنگتری در باگ بانتی داشتهاند، درحالیکه کسبوکارهای حوزه خدمات مالی با اختلاف کمی در جایگاه دوم ایستادهاند.
در این گزارش در قالب پرسشنامه، از جامعه شکارچیان اطلاعاتی کسب شده که اطلاعات آن در قالب نمودار منتشر شده است. برای مثال، ۲۷ درصد از هکرهایی که در این آمارگیری شرکت کردهاند، انگیزه خود از هککردن را حل چالش و کسب درآمد دانستهاند، درحالیکه هدف یادگیری با اختلاف درصد کمی در جایگاه سوم قرار دارد.
نکته جالب اینجاست که بیشتر شکارچیان امنیت این حرفه را بهصورت خودخوان یاد گرفتهاند و پسازآن با اختلاف، رتبه در دست یادگیری آنلاین و دورههای آموزشی است. در بین این هکرها، ۲۴ درصد بهصورت فریلنسر فعالیت میکنند یا در جایی مشغول به کار نیستند و ۲۳ درصد آنها قراردادی کار میکنند. اما نکته جالب اینجاست که در این میان، ۳ درصد از این هکرهای کلاهسفید استخدام دولت هستند.
میزان زمانی که هکرها در هفته برای فعالیت خود میگذارند، متغیر است. برای مثال، ۲۰ درصد از هکرها بالای ۴۰ ساعت در هفته را برای هککردن صرف میکنند که تقریباً معادل ساعت کاری کامل در هفته است، درحالیکه بیشتر این هکرها از درآمد دریافتی خود راضی نیستند.
با توجه به اینکه فرهنگ باگ بانتی در ایران چندان جاافتاده نیست و مبالغ دریافتی هکرها هم زیاد نیست، تعجبی ندارد که ۷۸ درصد از هکرها در پاسخ به این سؤال که «آیا تابهحال پیش آمده است که باگی را پیدا کنند و گزارش ندهند؟» جواب مثبت دادهاند. البته دلایل آنها متفاوت بوده است اما «عضونبودن در پلتفرم باگ بانتی» اصلیترین دلیل در بین هکرهای کلاهسفید برای گزارشنکردن باگهایی است که پیدا کردهاند.
