دلیل بی‌میلی متخصصان به مشارکت در کشف باگ پلتفرم‌های داخلی چیست؟

 با این حال گویا حتی افزایش چهاربرابری مبلغ باگ‌بانتی این شرکت نیز نتوانسته نظر شکارچیان یا به‌اصطلاح باگ‌‌‌هانترها را به خود جلب کند. آن‌طور که کارشناسان امنیت طی روزهای اخیر در شبکه‌‌‌های اجتماعی می‌‌‌گویند، حتی با افزایش سقف جایزه کشف آسیب‌‌‌پذیری نیز میلی به همکاری با شرکت‌های مالک این پلتفرم‌‌‌ها ندارند. اما دلیل این بی‌‌‌میلی چیست و آیا با وضع موجود، به‌زودی باید منتظر دور تازه‌‌‌ای از نشت اطلاعات کاربران پلتفرم‌‌‌های داخلی باشیم؟ چند روز پیش حساب لینکدین تپسی با انتشار پستی، از متخصصان امنیت دعوت کرد تا این شرکت را در کشف آسیب‌‌‌پذیری‌‌‌های امنیتی یاری کرده و در ازای این همکاری در معرفی باگ‌‌‌ها، جایزه دریافت کنند.

در این پست آمده بود: «باگ رو پیدا کن و ۱۲۰میلیون جایزه بگیر.» در ادامه نیز تاکید شده بود که «این دعوت‌‌‌نامه ویژه متخصصان تست نفوذ است» و تیم امنیت تپسی این برنامه را ترتیب داده است تا متخصصان باگ‌‌‌های امنیتی اپلیکیشن‌‌‌ها و سامانه‌‌‌های تپسی را کشف کنند و تا ۱۲۰میلیون تومان جایزه بگیرند. این دعوت‌‌‌نامه در حالی منتشر شده است که اوایل شهریورماه امسال خبر رسید که سامانه‌‌‌های تپسی هک شده‌‌‌اند و اطلاعات مهمی از میلیون‌‌‌ها کاربر مسافر و راننده این تاکسی اینترنتی از سوی هکرها به سرقت رفته‌‌‌اند. به فاصله کوتاهی از این ماجرا، اسنپ، رقیب قدرتمند این تاکسی اینترنتی با استفاده از فرصت پیش‌آمده، تلاش کرد دغدغه‌‌‌مندی خود در مساله امنیت را به رخ بکشد و مبلغ باگ بانتی خود را به ۱۵۰میلیون تومان افزایش داد. اگرچه حالا و با رسیدن سقف پاداش کشف باگ در سامانه‌‌‌های تپسی به ۱۲۰میلیون تومان، ظاهر ماجرا اندکی جذاب‌‌‌تر شده، اما گویا در این میان مشکلاتی وجود دارد که متخصصان امنیت را به مشارکت در چنین طرح‌‌‌هایی بی‌‌‌میل می‌کند.

کف پاداش‌‌‌ها چقدر است؟

 بی‌‌‌میلی متخصصان امنیت به مشارکت در طرح‌‌‌های کشف باگ پلتفرم‌‌‌های داخلی، مساله‌ای مختص تپسی نیست. آن‌طور که کارشناسان این حوزه اظهار می‌کنند، گویا تاکید این اطلاعیه‌‌‌ها بر کلمه «تا» یک ‌مبلغ مشخص و تعیین نشدن کف برای مبلغ جایزه، مسیری ایجاد کرده تا شرکت‌ها بتوانند از زیر بار اعطای جایزه در ازای معرفی آسیب‌‌‌پذیری شانه خالی کنند. یاشار شاهین‌‌‌زاده، از متخصصان امنیت شبکه، در گفت‌وگو با مارتک به تشریح این ماجرا پرداخته و می‌‌‌گوید: «عرف تمام پاداش‌‌‌هایی که در تمام دنیا برای کشف باگ پلتفرم‌‌‌ها تعریف می‌شود به این صورت است که حتما بازه قیمتی تعریف می‌شود و به این ترتیب، کف پاداشی که ممکن است در ازای معرفی آسیب‌‌‌پذیری به شما اعطا شود از همان ابتدا معلوم است. اما اکنون تمامی پلتفرم‌‌‌های ایرانی با اعلام مبلغ تا سقف یک عدد، این سیگنال را به متخصصان امنیت می‌دهند که ممکن است در ازای معرفی یک‌باگ، هیچ مبلغی به شما اعطا نشود؛ زیرا در آگهی کفی برای پاداش تعیین نشده و این کف صفر تلقی می‌شود.» این متخصص امنیت شبکه در ادامه می‌‌‌گوید: «مساله دیگری که باعث بی‌‌‌میلی کارشناسان به مشارکت در این طرح‌‌‌ها می‌شود آن است که دریافت آن جایزه‌‌‌ای که برای آسیب‌‌‌پذیری vital (در مورد تپسی جایزه ۱۲۰میلیون تومانی و در مورد اسنپ ۱۵۰میلیون تومانی) در نظر گرفته شده، عملا غیرممکن است؛ زیرا براساس قوانین ایران و برخی بخش‌‌‌های دنیا، هکر اجازه ندارد تا آن سطح در سیستم‌های شرکت‌ها پیشروی کند و به آن باگ حداکثری و حیاتی برسد. به عبارتی سقف حساسیت جهانی تعریف‌شده که هکرها می‌‌‌توانند آن را کشف و مداخله ‌‌‌کنند، سطح critical است.» شاهین‌‌‌زاده تشریح می‌کند: «میزان حساسیت باگ‌‌‌های کشف‌شده براساس استاندارد CBSS محاسبه می‌شود که عددی بین یک تا ۱۰ است و در وب‌سایت‌‌‌های محاسبه‌‌‌گر این استاندارد قابل تعیین است.

اگر عدد آسیب‌‌‌پذیری «یک» تعیین شود، اساسا کف جایزه به آن هکر کلاه‌سفید تعلیق می‌گیرد و سقف پاداش‌‌‌ها نیز مختص متخصصانی است که آسیب‌‌‌پذیری جدی با سطح حساسیت ۱۰ را گزارش کنند که معادل همان سطحی است که شرکت‌ها با عنوان critical یا بحرانی از آن یاد می‌کنند.» وی می‌‌‌گوید: «این سطح بحرانی یا critical دقیقا سطح پیش از آسیب‌‌‌پذیری حیاتی به حساب می‌‌‌آید که سقف جایزه به آن تعلق دارد. به این ترتیب آن جایزه ۱۲۰میلیون تومانی که مختص معرفی آسیب‌‌‌پذیری‌‌‌های حیاتی است، صرفا سرابی است که هیچ امکانی برای سنجش چند و چون آن وجود ندارد.» در مساله هک تپسی نیز ماجرای مشابهی رخ داده بود. آن‌طور که کارشناسان امنیت اظهار کرده‌‌‌اند، هکر با یافتن یوزر و پسورد، امکان دسترسی به سرورهای اصلی را به دست آورده بود، اما با معرفی آن، جایزه قابل‌‌‌توجهی نصیبش نمی‌‌‌شد؛ زیرا عملا آن آسیب‌‌‌پذیری که امکان ورود او را فراهم کرده بود، در رده آسیب‌‌‌پذیری جدی دسته‌‌‌بندی نمی‌‌‌شد. گذشته از آن که با کشف باگ یک پلتفرم داخلی، تضمینی نیست که جایزه‌‌‌ای به هکر اعطا شود. اظهارات هکرهای کلاه‌سفید در شبکه‌‌‌های اجتماعی حاکی از آن است که گویا این متخصصان، مصونیت قانونی چندانی ندارند و کشف و گزارش یک باگ، ممکن است برای آنها دردسرهای قانونی ایجاد کند و پای آنها را به پرونده‌‌‌های امنیتی باز کند.