بقلم توماس فولتين، الكاتب في أمن المعلومات لدي شركة إسيت.
بحثنا منذ عام تقريبًا كيف يمكن الدفع مقابل الكشف عن صيد الثغرات. وتدل حكاية المراهق الأرجنتيني الآن على أن التحري حول كود الثغرات الأمنية يمكن أن يكون سعيا جيدا للربح.
أصبح "سانتياغو لوبيز" البالغ من العمر 19 عاما من مدينة بوينس آيرس، أول شخص يكسب أكثر من مليون دولار أمريكي من المكافآت من شركة HackerOne صاحبة أكبر منصة اختراق أخلاقية في العالم.
وصرح لوبيز: "أشعر بالفخر بشكل لا يصدق برؤية عملي المعترف بقيمته. ليس فقط من أجل المال الذي أكتسبته، ولكن لأن هذا الإنجاز يمثل حماية معلومات لشركات ولأشخاص أصبحوا أكثر أمانا مما كانوا عليه في الماضي، وهذا أمر مذهل".
وأضاف أنه "علم نفسه تماما" ولم يباشر العمل بشكل تجاري إلا عندما إنضم لشركة HackerOne في عام 2015. و كان يعمل تحت الاسم المستعار "try_to_hack" ، و حصل على أول ربح له و كان 50 دولارا أمريكيا مقابل اكتشاف خلل في البرامج قد يؤدي إلى هجمات التزوير عبر المواقع (CSRF).
وعن محاولاته، بعد أن بحث عن أكثر من 1670 نقطة ضعف في التعليمات البرمجية في خدمات من شركات مثل Verizon و تويتر و ووردبريس. تضمن الكشف عيبا يمكّن من تنفيذ هجمات "طلب تزوير جانب الخادم" (SSRF)، مما أدى إلى حصول لوبيز على أكبر مكافأة نقدية له 9000 دولار أمريكي.
وكان يمارس نشاطه بعد اليوم الدراسي و تطورت لتكون وظيفة تستغرف من وقته 6 إلى 7 ساعات في اليوم والتي يدفع مقابلها أمولا أكثر بكثير من وظيفة مهندس برامج نموذجي في مدينة بوينس آيرس.
و أضاف في تصريحاته:"ما يهمني أكثر من البحث عن الأخطاء هو إيجاد أكبر عدد ممكن من الأخطاء في فترة قصيرة من الوقت ومحاولة كسب مكافآت جيدة مقابلها. أنا أعلم أنهم يقولون الجودة قبل الكمية، لكن الكمية هي أكثر ما يهمني ".
وبعد أيام من الوصول إلى الرقم المميز، انضم لوبيز إلى نادي مكافأة الكشف عن الثغرات بقيمة مليون دولار بواسطة مارك ليتشفيلد، وهو اسم مشهور في هذه الصناعة. وفي الواقع كان لدى ليتشفيلد القليل التحفظ على لوبيز في البداية . حيث قام بسحب مبلغ 500,000 دولار من المكافاَت مرة أخرى في عام 2016.
سنة وفيرة
بعد الإعلان عن عمل لوبيز، أصدرت HackerOne أيضًا تقرير هاكر 2019. وتشير المنصة، التي تعمل كنوع من أنواع الوساطه بين الشركات والقبعات البيضاء (القراصنة الأخلاقيون)، إلى أن القبعات البيضاء كسبت أكثر من 19 مليون دولار أمريكي في شكل مكافآت في عام 2018 فقط، وهو ما يعادل تقريبًا 24 مليون دولار أمريكي من أعضاء HackerOne في السنوات الخمس السابقة .
و ينضم المزيد من الأشخاص إلى هذا المجتمع. وبلغ عدد أعضاء HackerOne 300000 شخص، وهو ما يقرب من ضعف العدد منذ عام. ويمثل صيادين المكافآت من الولايات المتحدة والهند حوالي ثلث الأعضاء.
وهناك تسعة من كل عشرة أعضاء في HackerOne هم أقل من 35 عامًا، مع أن واحدا من كل اثنين يبلغ من العمر 18-24 عامًا. تمامًا مثل لوبيز، معظمهم (81 %) يتعلمون ذاتيًا، في حين أن 6 % منهم فقط إنضموا إلى صفوف دراسة رسمية أو حصلوا على شهادة في القرصنة.