«راورو» پلتفرم باگ بانتی که فعالیت خود را از سال ۹۹ اغاز کرده و در گزارش سالانه خود به اراعه آمارهایی درمورد صدمه‌پذیری در ایران و فعالین این حوزه پرداخته‌است. در این گزارش پافشاری شده که تا بحال ۲۸۷ شکارچی صدمه‌پذیر در این پلتفرم وجود داشتند و بیشتر از ۳۲۰۰ گزارش صدمه‌پذیری گزارش شده‌است و در کل ۴۵ کسب‌وکار امن‌تر شده‌اند.

این گزارش این چنین اظهار کرده که در سال قبل بیشتر از ۲ میلیارد تومان بانتی به هکرهای کلاه‌سفید پرداخت شده‌است که میانگین پرداختی هر میدان نیز رقم ۴۷ میلیون تومان بوده‌است. بر پایه گزارش راورو ۴۶ درصد شکارچیان صدمه‌پذیری ۲۵ تا ۳۴ سال می باشند و تنها ۲.۵ درصد این افراد را زنان راه اندازی خواهند داد.

در این گزارش، با نگاهى آمارى و به زبان اعداد، رقم های و نمودارها، آنچه که تا به حال در داستان پلتفرم باگ‌بانتى راورو قبل، روایت شده است. این چنین با ارائەی نقل‌قول‌هایی برخاسته از تجربەی زیستەی افرادی که در هوای حوزەی امنیت سایبری زیسته‌اند، اطلاعات تکمیلی به مخاطب داده می‌بشود.

تا امروز در باگ‌بانتی راورو، ۲۸۷ شکارچی صدمه‌پذیری به طور فعال وجود داشته‌اند، ۴۵ کسب‌وکار امن‌تر شده‌اند، ۳۲۰۰ صدمه‌پذیری گزارش شده و بیشتر از ۲ میلیار تومان بانتی پرداخت شده است.

آمارهایی از شکارچیان امنیت در ایران

بنابر این گزارش،‌ بیشترین شکارچیان باگ‌بانتی بین ۲۵ تا ۳۴ سال سن دارند و ۱۴ سال جوان‌ترین این شکارچیان از تهران بوده‌اند.

نسبت تعداد شکارچیان صدمه‌پذیری خانم به آقا در جامعه بین‌المللی امنیت سایبری، مدام کم بوده اما این نسب در ایران زیاد زیاد کمتر است.

بر پایه گزارش راورو، استان‌های خراسان رضوی، مازندران، تبریز، اصفهان، فارس، خوزستان، قم، گلستان و مرکزی به ترتیب بیشترین شکارچیان صدمه‌پذیری را دارند این در حالی است که در این بین فقط ۲۹ درصد از شکارچیان امنیت از ساکنین تهران می باشند. مسئله دیگر این که بیشتر از ۹۰ درصد شکارچیان راورو همزمان مشغول به باگ‌بانتی و تست نفوذ می باشند.

بیشتر از ۸۰ درصد از شکارچیان راورو کمتر از ۱۵ سال سابقه کار دارند و بیشتر از ۹۰ درصد از آن‌ها همزمان مشغول به باگ‌بانتى وتست نفوذ می باشند اما تنها ده درصد از این شکارچیان صدمه‌پذیری بیشتر از ۵۰ میلیون تومان درآمد داشته‌اند.

در این گزارش «على جلال نژاد»، مدیر ضمانت امنیت ایرانسل از عدم امکان استخدام متخصصان امنیت در شرکت‌ها به علت ذهنیت کنجکاو آن‌ها می‌گوید: «هرچه قدر هم که شرکت ما شرکت بزرگى باشد، امکان ندارد که ما بتوانیم جامعه خیلى بزرگى از متخصصان امنیت و شکارچیان صدمه‌پذیرى که ذهنیت کنجکاوى دارند را استخدام کنیم واز نگاهشان منفعت بگیریم. هر قدر هم تیم امنیت بزرگى داشته باشیم، بالاخره افرادى می باشند که دیدگاه، خلاقیت و سناریوهاى متفاوتى در ذهن دارند که ما به آن‌ها دسترسى نداریم.»

در این بین به نظر می‌رسد که کسب‌وکارهای مربوط به اینترنت و سرویس‌های اینترنتی وجود پررنگ‌تری در باگ‌بانتی داشته‌اند در حالی که کسب‌وکارهای حوزه خدمات مالی با اختلاف مقداری در جایگاه دوم ایستاده‌اند.

در این گزارش در قالب پرسشنامه‌ از جامعه شکارچیان اطلاعاتی کسب شده که اطلاعات آن در قالب نمودار انتشار شده است. برای مثال ۲۷ درصد از هکرهایی که در این آمارگیری شرکت کرده‌اند،‌ انگیزه خود از هک کردن را حل کردن چالش و کسب درآمد دانسته‌اند در حالی که مقصد یادگیری با اختلاف درصد مقداری در جایگاه سوم قرار دارد.

مسئله دلنشین اینجاست که زیاد تر شکارچیان امنیت، این حرفه را به طور خودخوان یاد گرفته‌اند سپس از آن با اختلاف، رتبه در دست یادگیری آنلاین و دوره‌های آموزشی است. در بین این هکرها، ۲۴ درصد به طور برابر فریلنسر می باشند یا در جایی مشغول به کار نیستند،‌ ۲۳ درصد آن‌ها قراردادی کار می‌کنند اما مسئله دلنشین اینجاست که در این بین، ۳ درصد از این هکرهای کلاه‌سفید استخدام دولت می باشند.

مقدار وقتی که هکرها در هفته برای فعالیت خود می‌گذارند، متغیر است برای مثال ۲۰ درصد از هکرها بالای ۴۰ ساعت در هفته را برای هک کردن زمان می‌گذارند که تقریباً معادل ساعت کاری کامل در هفته است در حالی که زیاد تر این هکرها از درآمد دریافتی خود راضی نیستند.

با دقت به این که فرهنگ باگ‌بانتی در ایران چندان جاافتاده نیست و مبالغ دریافتی هکرها هم زیاد نیست تعجبی ندارد که ۷۸ درصد از هکرها در جواب به این سوال آیا تا به حال شده باگی را اشکار کنند و گزارش ندهند، جواب مثبت داده‌اند. یقیناً دلایل آن‌ها متفاوت بوده‌ است اما «عضو نبودن در پلتفرم باگ‌بانتی» مهم‌ترین علت در بین هکرهای کلاه سفید برای گزارش نکردن باگ‌هایی است که اشکار کرده‌اند.