شکارچیان باگ، بچه پولدارهای دنیای تکنولوژی!

وب سایت کلیک - زهرا طیبی: شکارچیان باگ (Bug Bounty Hunter) می توانند با انجام یک هک قانونی پول زیادی را از کمپانی های بزرگ دنیا دریافت کنند.

وب سایت CNET در مطلبی نوشت؛ شکارچیان باگ نقاط ضعف سرویس های آنلاین را پیدا می کنند و در ازای آن پول می گیرند، این کار برای بسیاری از آنها یک شغل جانبی است اما برخی هم هستند که این کار را به صورت تمام وقت انجام می‌دهند.

در سال ۲۰۰۲، تامی دیواس (Tommy DeVoss) جلوی در خانه خود مهمانان ناخوانده ای داشت. ماموران اف بی آی برای دستگیری وی آنجا بودند و حالا پس از یک دهه و نیم، وی یکی از بزرگترین هکرهای قانونی است که بسیاری با رضایت کامل هزاران دلار به او پرداخت می کنند.

داستان دیواس از این قرار است که وی زمانی که یک نوجوان بود، بیش از ۱۶۰ وب سایت دولتی را با نام مستعار خود یعنی DawgyG هک کرد. دیوایس یک گروه هک با نام «جهان جهنمی» را اداره می کرد که به عقیده وی غیر قابل دسترس بود.

اما خیلی زود این جهان جهنمی از بین رفت و اف بی آی اعضای این گروه را بین سالهای ۲۰۰۲ و ۲۰۰۳ دستگیر کرد. دیواس سه سال به جرم هک کردن در زندان بود و بعد از آزادی به دنبال یک کار شرافمندانه در یک استارت آپ کوچک به عنوان یک توسعه دهنده نرم افزار مشغول به کار شد.

وی یک روز مقاله ای در مورد شکار باگ در فیس بوک خواند. وی در این خصوص می‌گوید: به نظر خیلی جالب می آمد که یک شرکت بزرگ برای هک کردن به من پول دهد، اما راستش من از اینکار واهمه داشتم چرا که قاضی به من هشدار داده بود که محکومیت بعدی بسیار سنگین خواهد بود. وی در سال ۲۰۱۵، به گردهمایی سالانه هکرها در لاس وگاس رفت و در آنجا با شکارچیان باگ آشنا و متوجه شد که هک کردن می تواند یک شغل کاملا قانونی و بسیار پولساز باشد.

دیواس در اولین تجربه خود متوجه یک باگ در یاهو شد؛ مجموعه ای از کدهای خصوصی که با یک جستجوی ساده و به طور عمومی در Github در دسترس بودند. او فکر نمی کرد که این مورد ارزش زیادی داشته باشد، اما توانست ۳۰۰ دلار برای این جستجوی ساده دریافت کند.

بعد از این ماجرا وی شغل شکار باگ را جدی گرفت و توانست با پولی که بدست آورد نه تنها بدهی و وام دانشجویی خود را پرداخت کند، بلکه به سرعت رقم های بالاتری را بابت هک های قانونی بدست آورد. دیوایس گفته است: هنگامی که شما بتوانید ۹۰۰۰ دلار را در ۱۵ دقیقه بدست بیاورید، حتما به زودی پولدار می شوید. وی با اشاره به درآمد خوب این شغل عنوان کرد: من باید مدیر عامل یک شرکت بزرگ باشم تا چنین درآمدی داشته باشم.

در واقع شکارچیان باگ، کمک زیادی به شرکت های کوچک که منابع لازم برای استخدام کارشناسان تمام وقت امنیت سیستم را ندارند، می کنند. حتی شرکت های بزرگ تکنولوژی هم که به دنبال تقویت ساختار امنیتی خود هستند، از این خدمات استقبال می کنند. آنها می توانند با پیدا کردن نقص های امنیتی از وقوع جرایم سایبری جلوگیری کنند.

این روزها هکرها به شدت از آسیب پذیری ها استفاده می کنند و باعث رسوایی ها و خسارت های بسیاری به شرکت های بزرگ می شوند که نمونه آن را می توان در مواردی چون هک اطلاعات بانکی ۱۴۳ میلیون نفر از کاربران کارت اعتباری Equifax و یا لو رفتن اطلاعات یک میلیون کاربر در یاهو مشاهده کرد. بنابراین شکارچی باگ بودن برای این شرکت ها که نیاز به محافظت بیشتر دارند، می تواند بسیار پولساز باشد.

دیواس می گوید که قصد دارد امسال بیش از ۱۰۰ هزار دلار درآمد داشته باشد. بد نیست بدانید وی از ژوئیه تاکنون ۸۴ هزار دلار بدست آورده است. دیواس و دیگر شکارچیان باگ معمولا سرشان خیلی شلوغ است. شرکت هایی مانند گوگل، اپل، فیس بوک، کرایسلر و همچنین آژانس های دولتی از جمله وزارت دفاع، اغلب برای پیدا کردن باگ های امنیتی فراخوان هایی را اعلام می کنند و طی آن جوایز خوبی را به کسانی که بتوانند مشکلات سیستم ها را پیدا کنند، می دهند.

وب‌سایت Bugcrowd که در زمینه عیب یابی و جستجوی باگ در سرویس های مختلف فعالیت دارد، در سال ۲۰۱۶، شرکت ها و سازمان ها ۳٫۶ میلیون دلار برای ۵۲ هزار باگ کشف شده، پرداخت کردند. سخنگوی شرکت Oath (شرکتی که مالک یاهو است) در این مورد گفت: استفاده از شکارچیان باگ یکی از اصولی ترین استراتژی های ما برای ارتقا امنیت است. وی ادامه داد: این کار مانند این است که یک متخصص سرقت را برای تامین امنیت و پیدا کردن راه های نفوذ به خانه بیاورید. آنها به شما می گویند که نقاط آسیب پذیر کجاست و هر چقدر این آسیب پذیری مهم‌تر باشد، پاداش بالاتری پرداخت می شود. با اینکه این نوع کسب درآمد بسیار محبوب است، اما از بیش از ۵۳ هزار شکارچی باگ، تنها ۱۵ درصد به طور تمام وقت مشغول به این حرفه هستند.

شکارچی باگی که یک ساله میلیونر شد!

برخی از شکارچیان باگ یک شبه پولدار شدند، مانند مارک لیچفیلد، که بیش از یک و نیم میلیون دلار را تنها در یک سال بدست آورد. «اگر اول نباشید همه تلاش ها بر باد می رود». این جمله را لیچفیلد می گوید؛ کسی که توانست تنها با کشف یک باگ در سال ۲۰۰۶ بیش از ششصد هزار دلار کسب کند!

لیچفیلد می‌گوید: یکی از سختی های این شغل این است که اگر اولین کسی نباشید که یک باگ را ارسال می کنید، کل پولی که انتظار دارید بگیرید از دست می رود. وی به یاد می آورد که در سال ۲۰۱۵ نفر دومی بود که یک اشکال بزرگ در کدنویسی PayPal را کشف کرد و مقدار زیادی پول را از دست داد. لیچفیلد در این خصوص گفت: این اتفاق می تواند برای هر شکارچی باگی بسیار تلخ و ناامید کننده باشد.

وی دائما می ترسد که تلاشش به جایی نرسد و یک ناامیدی بزرگ دیگر برای او در پی داشته باشد، اما هرگز اجازه نمی دهد که این افکار وی را به پایین بکشد. به گفته لیچفیلد هر پروژه کشف باگ یک مسابقه تمام عیار است و او تمام تلاشش را می کند تا اولین نفری باشد که به خط پایان می رسد. این شکارچی باگ گفته که اگر حق الزحمه یک کار کمتر از ۵۰۰ دلار باشد، وی حتی به آن دست نمی زند! در واقع، هدف او کسب ۵۰ هزار دلار در هر ماه است. وی در این خصوص گفته است: این کار می تواند وقت گیر و سخت باشد، اما اگر درست انجام شود، پرداخت ها معمولا بسیار زیاد است.

لیچفیلد در ادامه توضیحاتش بیان کرد: از آنچه که انجام می دهم لذت می برم. گاهی اوقات کار کمی ناامید کننده است، اما من تصمیم گرفتم این کار را به خوبی انجام دهم، بنابراین فقط باید رو به جلو حرکت کنم.

همه شکارچیان باگ غرق در پول نیستند!

البته همه شکارچیان باگ را نمی‌توان بچه پولدارهای دنیای فناوری قلمداد کرد. برخی برای کوچکترین پاداش هم تلاش بسیاری می کنند؛ مانند این استارت آپ کوچک در هند که تنها مبلغ ۴٫۲۵ دلار در روز بدست می آورد!

جاسمینیندر سینگ بیش از شش سال به عنوان یک توسعه دهنده وب در هند کار کرده است. وی خود را هرگز یک هکر یا شکارچی باگ نمی داند، اما اگر اوضاع کسب و کار آهسته پیش برود و وی نتواند بر روی شروع کار جدید خود سرمایه گذاری کند، به سراغ شکار باگ می رود. گوگل و یوتیوب درآمد خوبی را برای سینگ فراهم کرده اند و او از تمام این درآمدها برای ارتقا شرکت خود استفاده می کند.

سینگ در این مورد گفت: اگر می خواهید به سرعت پول در بیاورید، شکار باگ انتخاب خوبی است. برنامه کشف باگ شرکت گوگل، اولین تجربه وی در این حرفه بود. سینگ پول نقد زیادی نداشت، اما توانایی های خوبی در شناسایی آسیب پذیری سیستم ها کسب کرده بود؛ از این رو، توانست یک نقص مهم در اسکریپت های cross-site سایت یوتیوب را کشف کند که به هکرها اجازه کنترل سایت را می داد.

سینگ اظهار داشت: گوگل بسیار نگران امنیت خود است و اگر یک اشکال برای آنها پیدا کنید، معمولا پرداخت پاداش پنج رقمی از سوی این شرکت تضمین شده است! البته با توجه به پتانسیل درآمدی که توسط لیچفیلد و دیواس پیش‌تر تشریح شد، این رقم چندان زیاد نیست. اما این دستمزد گوگل برای سینگ به منزله تعیین آینده شرکتش است!

تعداد شکارچیان باگ تمام وقت روند رو به رشدی را در پیش گرفته است و هکرهای با استعداد اکنون می توانند پول زیادی را برای شکستن سرویس های وب به صورت کاملا قانون کسب کنند. از طرفی شرکت های بزرگ اعلام کرده‌اند که استفاده از این شکارچی ها برای پیدا کردن معایبشان آسان تر از صرف زمان و انرژی بسیار برای جستجو در این زمینه است.