مارتک: تاکسی اینترنتی تپسی که پس از انتشار خبر نشت حجم زیادی از دادههای کاربرانش، مورد انتقاد جدی قرار گرفته بود، حالا در اطلاعیهای از افزایش سقف جایزه کشف باگ پلتفرمش از ۳۰ به ۱۲۰ میلیون تومان خبر داده است. با اینحال گویا حتی افزایش ۴ برابری مبلغ باگ بانتی این شرکت نیز نتوانسته نظر شکارچیان یا به اصطلاح باگهانترها را به خود جلب کند. آنطور که کارشناسان امنیت طی روزهای اخیر در شبکههای اجتماعی میگویند، حتی با افزایش سقف جایزه کشف آسیبپذیری نیز میلی به همکاری با شرکتهای مالک این پلتفرمها ندارند. اما دلیل این بیمیلی چیست و آيا با وضع موجود، به زودی باید منتظر دور تازهای از نشت اطلاعات کاربران پلتفرمهای داخلی باشیم؟
دعوت تپسی از متخصصان امنیت
چند روز پیش حساب لینکدین تپسی با انتشار پستی، از متخصصان امنیت دعوت کرد تا این شرکت را در کشف آسیبپذیریهای امنیتی یاری کنند و در ازای این همکاری در معرفی باگها، جایزه دریافت کنند. در این پست آمده بود: «باگ رو پیدا کن و ۱۲۰ میلیون جایزه بگیر». در ادامه نیز تاکید شده بود که «این دعوتنامه ویژه متخصصان تست نفوذ است» و تیم امنیت تپسی این برنامه را ترتیب داده است تا متخصصان باگهای امنیتی اپلیکشنها و سامانههای تپسی را کشف کنند و تا ۱۲۰ میلیون تومان جایزه بگیرند.
این دعوتنامه در حالی منتشر شده است که اوایل شهریور ماه امسال خبر رسید که سامانههای تپسی هک شدهاند و اطلاعات مهمی از میلیونها کاربر مسافر و راننده این تاکسی اینترنتی از سوی هکرها به سرقت رفتهاند. به فاصله کوتاهی از این ماجرا، اسنپ، رقیب قدرتمند این تاکسی اینترنتی با استفاده از فرصت پیش آمده، تلاش کرد تا دغدغهمندی خود در مساله امنیت را به رخ بکشد.
اسنپ در اطلاعیهای از متخصصان امنیت و هکرهای کلاه سفید دعوت کرد تا در کشف آسیبپذیریهای این پلتفرم همراهی کنند و جایزه بگیرند. اسنپ در این اطلاعیه تاکید کرد که پاداشهای نقدی خود را در برنامه باگ بانتی در چهار سطح بالا برده و عدد آن در سطح Medium تا ۵ میلیون تومان، در سطح High تا ۱۵ میلیون تومان، در سطح Critical تا ۲۵ میلیون تومان و در سطح Vital تا ۱۵۰ میلیون تومان افزایش یافته است. این اعداد درحالی اعلام شد که در آن زمان، باگ بانتی تپسی مبلغ بسیار کمتر و چیزی در حدود ۳۰ میلیون تومان بود.
اگرچه حالا و با رسیدن سقف پاداش کشف باگ در سامانههای تپسی به ۱۲۰ میلیون تومان، ظاهر ماجرا اندکی جذابتر شده، اما گویا در این میان مشکلاتی وجود دارد که متخصصان امنیت را به مشارکت در چنین طرحهایی بیمیل میکند.
جزییات پاداش باگ بانتی تپسی
کف پاداشها چقدر است؟
بیمیلی متخصصان امنیت به مشارکت در طرحهای کشف باگ پلتفرمهای داخلی، مسالهای مختص تپسی نیست. آنطور که کارشناشان این حوزه اظهار میکنند، گویا تاکید این اطلاعیهها بر کلمه «تا» یک مبلغ مشخص و تعیین نشدن هیچ کفی برای مبلغ جایزه، مسیری ایجاد کرده تا شرکتها بتوانند از زیر بار اعطای جایزه در ازای معرفی آسیبپذیری شانه خالی کنند.
یاشار شاهینزاده، از متخصصان امنیت شبکه در گفتگو با مارتک به تشریح این ماجرا پرداخته و میگوید: عرف تمام پاداشهایی که در تمام دنیا برای کشف باگ پلتفرمها تعریف میشود به این صورت است که حتما بازه قیمتی تعریف میشود و به این ترتیب، کف پاداشی که ممکن است در ازای معرفی آسیبپذیری به شما اعطا شود از همان ابتدا معلوم است. اما اکنون تمامی پلتفرمهای ایرانی با اعلام مبلغ تا سقف یک عدد، این سیگنال را به متخصصان امنیت میدهند که ممکن است در ازای معرفی یک باگ، هیچ مبلغی به شما اعطا نشود. زیرا در آگهی کفی برای پاداش تعیین نشده و این کف صفر تلقی میشود.
این متخصص امنیت شبکه در ادامه میگوید: مساله دیگری که باعث بیمیلی کارشناسان به مشارکت در این طرحها میشود آن است که دریافت آن جایزهای که برای آسیبپذیری vital (در مورد تپسی همان جایزه ۱۲۰ و در مورد اسنپ ۱۵۰ میلیون تومانی) در نظر گرفته شده، عملا غیرممکن است. زیرا بر اساس قوانین ایران و برخی بخشهای دنیا، هکر اجازه ندارد تا آن سطحی در سیستمهای شرکتها پیشروی کند و به آن باگ حداکثری و حیاتی برسد. به عبارتی سقف حساسیت جهانی تعریف شده که هکرها میتوانند آن را کشف و مداخله کنند، سطح critical است.
یک کارشناس امنیت اطلاعات: بر اساس قوانین اهکر اجازه ندارد تا آن سطحی در سیستمهای شرکتها پیشروی کند و به آن باگ حداکثری و حیاتی برسد. به عبارتی سقف حساسیت جهانی تعریف شده که هکرها میتوانند آن را کشف و مداخله کنند، محدود به همان سطح critical است.
شاهینزاده تشریح میکند: میزان حساسیت باگهای کشف شده بر اساس استاندارد CBSS محاسبه میشود که عددی بین ۱ تا ۱۰ است و در وبسایتهای محاسبهگر این استاندارد قابل تعیین است. اگر عدد آسیبپذیری «یک» تعیین شود، اساسا کف جایزه به آن هکر کلاه سفید تعلیق میگیرد و سقف پاداشها نیز مختص متخصصانی است که یک آسیبپذیری جدی با سطح حساسیت ۱۰ را گزارش کنند که این معادل همان سطحی است که شرکتها با عنوان critical یا بحرانی از آن یاد میکنند. وی میگوید: این سطح بحرانی یا critical دقیقا سطح پیش از آسیبپذیری حیاتی به حساب میآید که سقف جایزه به آن تعلق دارد. به این ترتیب آن جایزه ۱۲۰ میلیون تومانی که مختص معرفی آسیبپذیریهای حیاتی است، صرفا سرابی است که هیچ امکانی برای سنجش چند و چون آن وجود ندارد.
در مساله هک تپسی نیز ماجرای مشابهی رخ داده بود. آنطور که کارشناسان امنیت اظهار کردهاند، اگرچه هکر با یافتن یوزر و پسورد، امکان دسترسی به سرورهای اصلی را به دست آورده بود، اما با معرفی آن، جایزه قابلتوجهی نصیبش نمیشد؛ زیرا عملا آن آسیبپذیری که امکان ورود او را فراهم کرده بود، در رده یک آسیبپذیری جدی دستهبندی نمیشد.
گذشته از آنکه با کشف باگ یک پلتفرم داخلی، هیچ تضمینی نیست که جایزهای به هکر اعطا شود، اظهارات هکرهای کلاه سفید در شبکههای اجتماعی حاکی از آنست که گویا این متخصصان، مصونیت قانونی چندانی نیز ندارند و کشف و گزارش یک باگ، ممکن است برای آنها دردسرهای قانونی ایجاد کند و پای آنها را به پروندههای امنیتی باز کند.
کشف باگ پلتفرمهای خارجی و درآمد دلاری
مجموع این شرایط باعث شده تا هکرهای کلاه سفید، میل چندانی به مشارکت در طرحهای کشف آسیبپذیری و تست نفوذی که پلتفرمهای داخلی برای آن فراخوان میدهند نداشته باشند. زیرا آن سوی ماجرا، فراخوانی است که از سوی شرکتهای خارجی برای کشف باگ داده میشود و نه تنها دردسرهای ذکر شده را ندارد، بلکه زمینهساز دسترسی به یک درآمد دلاری است که به پول رایج کشور، عددی بسیار بیشتر از سقف جوایزی است که شرکتهای داخلی تعیین میکنند.
شاهینزاده در تجمیع گفتههای خود تاکید میکند: برآیند وضع موجود آنست که عموم متخصصان امنیت اطلاعات، تمایلی به مشارکت در طرحهای باگبانتی تعریف شده از سوی کسبوکارهای داخلی ندارند و تنها ممکن است هکرهای کلاهسفید کمسابقه و ضعیف، برای کشف باگ این پلتفرمها پیشقدم شوند.
به این ترتیب به نظر میرسد شانس کشف باگهای حیاتی که میتوانند کسبوکارها را با مشکلات اساسی مواجه کنند، کاهش یابد و گویا نباید به حفظ امنیت اطلاعات کاربران در این پلتفرمها امید چندانی داشت.
تمام این ماجرا و اعلام خبر افزایش پاداش کشف باگ تپسی در حالی دنبال میشود که از زمان نشت اطلاعات کاربران این شرکت، مدیران تپسی هنوز گزارشی از جزییات آن حادثه منتشر نکرده و هیچگاه رسما مشخص نشد که حساسیت دادههای نشت پیدا کرده از کاربران چقدر بوده است.
