«راورو» پلتفرم باگ بانتی که فعالیت خود را از سال ۹۹ آغاز کرده و در گزارش سالانه خود به ارائه آمارهایی درباره آسیبپذیری در ایران و فعالین این حوزه پرداختهاست. در این گزارش تأکید شده که تاکنون ۲۸۷ شکارچی آسیبپذیر در این پلتفرم حضور داشتند و بیش از ۳۲۰۰ گزارش آسیبپذیری گزارش شدهاست و در مجموع ۴۵ کسبوکار امنتر شدهاند.
این گزارش همچنین اعلام کرده که در سال گذشته بیش از ۲ میلیارد تومان بانتی به هکرهای کلاهسفید پرداخت شدهاست که میانگین پرداختی هر میدان نیز رقم ۴۷ میلیون تومان بودهاست. براساس گزارش راورو ۴۶ درصد شکارچیان آسیبپذیری ۲۵ تا ۳۴ سال هستند و تنها ۲.۵ درصد این افراد را زنان تشکیل میدهند.
در این گزارش، با نگاهى آمارى و به زبان اعداد، ارقام و نمودارها، آنچه که تا به حال در داستان پلتفرم باگبانتى راورو گذشته، روایت شده است. همچنین با ارائەی نقلقولهایی برخاسته از تجربەی زیستەی افرادی که در هوای حوزەی امنیت سایبری زیستهاند، اطلاعات تکمیلی به مخاطب داده میشود.
تا امروز در باگبانتی راورو، ۲۸۷ شکارچی آسیبپذیری به صورت فعال حضور داشتهاند، ۴۵ کسبوکار امنتر شدهاند، ۳۲۰۰ آسیبپذیری گزارش شده و بیش از ۲ میلیار تومان بانتی پرداخت شده است.
آمارهایی از شکارچیان امنیت در ایران
بنابر این گزارش، بیشترین شکارچیان باگبانتی بین ۲۵ تا ۳۴ سال سن دارند و ۱۴ سال جوانترین این شکارچیان از تهران بودهاند.
نسبت تعداد شکارچیان آسیبپذیری خانم به آقا در جامعه بینالمللی امنیت سایبری، همواره کم بوده اما این نسب در ایران خیلی خیلی کمتر است.
بر اساس گزارش راورو، استانهای خراسان رضوی، مازندران، تبریز، اصفهان، فارس، خوزستان، قم، گلستان و مرکزی به ترتیب بیشترین شکارچیان آسیبپذیری را دارند این در حالی است که در این میان فقط ۲۹ درصد از شکارچیان امنیت از ساکنین تهران هستند. نکته دیگر اینکه بیش از ۹۰ درصد شکارچیان راورو همزمان مشغول به باگبانتی و تست نفوذ هستند.
بیش از ۸۰ درصد از شکارچیان راورو کمتر از ۱۵ سال سابقه کار دارند و بیش از ۹۰ درصد از آنها همزمان مشغول به باگبانتى وتست نفوذ هستند اما تنها ده درصد از این شکارچیان آسیبپذیری بیش از ۵۰ میلیون تومان درآمد داشتهاند.
در این گزارش «على جلال نژاد»، مدیر تضمین امنیت ایرانسل از عدم امکان استخدام متخصصان امنیت در شرکتها به علت ذهنیت کنجکاو آنها میگوید: «هرچه قدر هم که شرکت ما شرکت بزرگى باشد، امکان ندارد که ما بتوانیم جامعه خیلى بزرگى از متخصصان امنیت و شکارچیان آسیبپذیرى که ذهنیت کنجکاوى دارند را استخدام کنیم واز نگاهشان بهره بگیریم. هر قدر هم تیم امنیت بزرگى داشته باشیم، بالاخره افرادى هستند که دیدگاه، خلاقیت و سناریوهاى متفاوتى در ذهن دارند که ما به آنها دسترسى نداریم.»
در این میان به نظر میرسد که کسبوکارهای مربوط به اینترنت و سرویسهای اینترنتی حضور پررنگتری در باگبانتی داشتهاند در حالی که کسبوکارهای حوزه خدمات مالی با اختلاف کمی در جایگاه دوم ایستادهاند.
در این گزارش در قالب پرسشنامه از جامعه شکارچیان اطلاعاتی کسب شده که اطلاعات آن در قالب نمودار منتشر شده است. برای مثال ۲۷ درصد از هکرهایی که در این آمارگیری شرکت کردهاند، انگیزه خود از هک کردن را حل کردن چالش و کسب درآمد دانستهاند در حالی که هدف یادگیری با اختلاف درصد کمی در جایگاه سوم قرار دارد.
نکته جالب اینجاست که بیشتر شکارچیان امنیت، این حرفه را به صورت خودخوان یاد گرفتهاند بعد از آن با اختلاف، رتبه در دست یادگیری آنلاین و دورههای آموزشی است. در بین این هکرها، ۲۴ درصد به صورت برابر فریلنسر هستند یا در جایی مشغول به کار نیستند، ۲۳ درصد آنها قراردادی کار میکنند اما نکته جالب اینجاست که در این میان، ۳ درصد از این هکرهای کلاهسفید استخدام دولت هستند.
میزان زمانی که هکرها در هفته برای فعالیت خود میگذارند، متغیر است برای مثال ۲۰ درصد از هکرها بالای ۴۰ ساعت در هفته را برای هک کردن زمان میگذارند که تقریباً معادل ساعت کاری کامل در هفته است در حالی که بیشتر این هکرها از درآمد دریافتی خود راضی نیستند.
با توجه به اینکه فرهنگ باگبانتی در ایران چندان جاافتاده نیست و مبالغ دریافتی هکرها هم زیاد نیست تعجبی ندارد که ۷۸ درصد از هکرها در پاسخ به این سوال آیا تا به حال شده باگی را پیدا کنند و گزارش ندهند، جواب مثبت دادهاند. البته دلایل آنها متفاوت بوده است اما «عضو نبودن در پلتفرم باگبانتی» اصلیترین دلیل در بین هکرهای کلاه سفید برای گزارش نکردن باگهایی است که پیدا کردهاند.