تاکسی اینترنتی تپسی که پس از انتشار خبر نشت حجم زیادی از دادههای کاربرانش، مورد انتقاد جدی قرار گرفته بود، حالا در اطلاعیهای از افزایش سقف جایزه کشف باگ پلتفرمش از ۳۰ به ۱۲۰میلیون تومان خبر داده است.
با این حال گویا حتی افزایش چهاربرابری مبلغ باگبانتی این شرکت نیز نتوانسته نظر شکارچیان یا بهاصطلاح باگهانترها را به خود جلب کند. آنطور که کارشناسان امنیت طی روزهای اخیر در شبکههای اجتماعی میگویند، حتی با افزایش سقف جایزه کشف آسیبپذیری نیز میلی به همکاری با شرکتهای مالک این پلتفرمها ندارند. اما دلیل این بیمیلی چیست و آیا با وضع موجود، بهزودی باید منتظر دور تازهای از نشت اطلاعات کاربران پلتفرمهای داخلی باشیم؟ چند روز پیش حساب لینکدین تپسی با انتشار پستی، از متخصصان امنیت دعوت کرد تا این شرکت را در کشف آسیبپذیریهای امنیتی یاری کرده و در ازای این همکاری در معرفی باگها، جایزه دریافت کنند.
در این پست آمده بود: «باگ رو پیدا کن و ۱۲۰میلیون جایزه بگیر.» در ادامه نیز تاکید شده بود که «این دعوتنامه ویژه متخصصان تست نفوذ است» و تیم امنیت تپسی این برنامه را ترتیب داده است تا متخصصان باگهای امنیتی اپلیکیشنها و سامانههای تپسی را کشف کنند و تا ۱۲۰میلیون تومان جایزه بگیرند. این دعوتنامه در حالی منتشر شده است که اوایل شهریورماه امسال خبر رسید که سامانههای تپسی هک شدهاند و اطلاعات مهمی از میلیونها کاربر مسافر و راننده این تاکسی اینترنتی از سوی هکرها به سرقت رفتهاند. به فاصله کوتاهی از این ماجرا، اسنپ، رقیب قدرتمند این تاکسی اینترنتی با استفاده از فرصت پیشآمده، تلاش کرد دغدغهمندی خود در مساله امنیت را به رخ بکشد و مبلغ باگ بانتی خود را به ۱۵۰میلیون تومان افزایش داد. اگرچه حالا و با رسیدن سقف پاداش کشف باگ در سامانههای تپسی به ۱۲۰میلیون تومان، ظاهر ماجرا اندکی جذابتر شده، اما گویا در این میان مشکلاتی وجود دارد که متخصصان امنیت را به مشارکت در چنین طرحهایی بیمیل میکند.
کف پاداشها چقدر است؟
بیمیلی متخصصان امنیت به مشارکت در طرحهای کشف باگ پلتفرمهای داخلی، مسالهای مختص تپسی نیست. آنطور که کارشناسان این حوزه اظهار میکنند، گویا تاکید این اطلاعیهها بر کلمه «تا» یک مبلغ مشخص و تعیین نشدن کف برای مبلغ جایزه، مسیری ایجاد کرده تا شرکتها بتوانند از زیر بار اعطای جایزه در ازای معرفی آسیبپذیری شانه خالی کنند. یاشار شاهینزاده، از متخصصان امنیت شبکه، در گفتوگو با مارتک به تشریح این ماجرا پرداخته و میگوید: «عرف تمام پاداشهایی که در تمام دنیا برای کشف باگ پلتفرمها تعریف میشود به این صورت است که حتما بازه قیمتی تعریف میشود و به این ترتیب، کف پاداشی که ممکن است در ازای معرفی آسیبپذیری به شما اعطا شود از همان ابتدا معلوم است. اما اکنون تمامی پلتفرمهای ایرانی با اعلام مبلغ تا سقف یک عدد، این سیگنال را به متخصصان امنیت میدهند که ممکن است در ازای معرفی یکباگ، هیچ مبلغی به شما اعطا نشود؛ زیرا در آگهی کفی برای پاداش تعیین نشده و این کف صفر تلقی میشود.» این متخصص امنیت شبکه در ادامه میگوید: «مساله دیگری که باعث بیمیلی کارشناسان به مشارکت در این طرحها میشود آن است که دریافت آن جایزهای که برای آسیبپذیری vital (در مورد تپسی جایزه ۱۲۰میلیون تومانی و در مورد اسنپ ۱۵۰میلیون تومانی) در نظر گرفته شده، عملا غیرممکن است؛ زیرا براساس قوانین ایران و برخی بخشهای دنیا، هکر اجازه ندارد تا آن سطح در سیستمهای شرکتها پیشروی کند و به آن باگ حداکثری و حیاتی برسد. به عبارتی سقف حساسیت جهانی تعریفشده که هکرها میتوانند آن را کشف و مداخله کنند، سطح critical است.» شاهینزاده تشریح میکند: «میزان حساسیت باگهای کشفشده براساس استاندارد CBSS محاسبه میشود که عددی بین یک تا ۱۰ است و در وبسایتهای محاسبهگر این استاندارد قابل تعیین است.
اگر عدد آسیبپذیری «یک» تعیین شود، اساسا کف جایزه به آن هکر کلاهسفید تعلیق میگیرد و سقف پاداشها نیز مختص متخصصانی است که آسیبپذیری جدی با سطح حساسیت ۱۰ را گزارش کنند که معادل همان سطحی است که شرکتها با عنوان critical یا بحرانی از آن یاد میکنند.» وی میگوید: «این سطح بحرانی یا critical دقیقا سطح پیش از آسیبپذیری حیاتی به حساب میآید که سقف جایزه به آن تعلق دارد. به این ترتیب آن جایزه ۱۲۰میلیون تومانی که مختص معرفی آسیبپذیریهای حیاتی است، صرفا سرابی است که هیچ امکانی برای سنجش چند و چون آن وجود ندارد.» در مساله هک تپسی نیز ماجرای مشابهی رخ داده بود. آنطور که کارشناسان امنیت اظهار کردهاند، هکر با یافتن یوزر و پسورد، امکان دسترسی به سرورهای اصلی را به دست آورده بود، اما با معرفی آن، جایزه قابلتوجهی نصیبش نمیشد؛ زیرا عملا آن آسیبپذیری که امکان ورود او را فراهم کرده بود، در رده آسیبپذیری جدی دستهبندی نمیشد. گذشته از آن که با کشف باگ یک پلتفرم داخلی، تضمینی نیست که جایزهای به هکر اعطا شود. اظهارات هکرهای کلاهسفید در شبکههای اجتماعی حاکی از آن است که گویا این متخصصان، مصونیت قانونی چندانی ندارند و کشف و گزارش یک باگ، ممکن است برای آنها دردسرهای قانونی ایجاد کند و پای آنها را به پروندههای امنیتی باز کند.
/دنیای اقتصاد