«راورو» پلتفرم باگ بانتی که فعالیت خود را از سال ۹۹ آغاز کرده و در گزارش سالانه خود به ارائه آمارهایی درباره آسیب‌پذیری در ایران و فعالین این حوزه پرداخته‌است. در این گزارش تأکید شده که تاکنون ۲۸۷ شکارچی آسیب‌پذیر در این پلتفرم حضور داشتند و بیش از ۳۲۰۰ گزارش آسیب‌پذیری گزارش شده‌است و در مجموع ۴۵ کسب‌وکار امن‌تر شده‌اند.

این گزارش همچنین اعلام کرده که در سال گذشته بیش از ۲ میلیارد تومان بانتی به هکرهای کلاه‌سفید پرداخت شده‌است که میانگین پرداختی هر میدان نیز رقم ۴۷ میلیون تومان بوده‌است. براساس گزارش راورو ۴۶ درصد شکارچیان آسیب‌پذیری ۲۵ تا ۳۴ سال هستند و تنها ۲.۵ درصد این افراد را زنان تشکیل می‌دهند.

در این گزارش، با نگاهى آمارى و به زبان اعداد، ارقام و نمودارها، آنچه که تا به حال در داستان پلتفرم باگ‌بانتى راورو گذشته، روایت شده است. همچنین با ارائەی نقل‌قول‌هایی برخاسته از تجربەی زیستەی افرادی که در هوای حوزەی امنیت سایبری زیسته‌اند، اطلاعات تکمیلی به مخاطب داده می‌شود.

تا امروز در باگ‌بانتی راورو، ۲۸۷ شکارچی آسیب‌پذیری به صورت فعال حضور داشته‌اند، ۴۵ کسب‌وکار امن‌تر شده‌اند، ۳۲۰۰ آسیب‌پذیری گزارش شده و بیش از ۲ میلیار تومان بانتی پرداخت شده است.

آمارهایی از شکارچیان امنیت در ایران
بنابر این گزارش،‌ بیشترین شکارچیان باگ‌بانتی بین ۲۵ تا ۳۴ سال سن دارند و ۱۴ سال جوان‌ترین این شکارچیان از تهران بوده‌اند.

نسبت تعداد شکارچیان آسیب‌پذیری خانم به آقا در جامعه بین‌المللی امنیت سایبری، همواره کم بوده اما این نسب در ایران خیلی خیلی کمتر است.

بر اساس گزارش راورو، استان‌های خراسان رضوی، مازندران، تبریز، اصفهان، فارس، خوزستان، قم، گلستان و مرکزی به ترتیب بیشترین شکارچیان آسیب‌پذیری را دارند این در حالی است که در این میان فقط ۲۹ درصد از شکارچیان امنیت از ساکنین تهران هستند. نکته دیگر اینکه بیش از ۹۰ درصد شکارچیان راورو همزمان مشغول به باگ‌بانتی و تست نفوذ هستند.

بیش از ۸۰ درصد از شکارچیان راورو کمتر از ۱۵ سال سابقه کار دارند و بیش از ۹۰ درصد از آن‌ها همزمان مشغول به باگ‌بانتى وتست نفوذ هستند اما تنها ده درصد از این شکارچیان آسیب‌پذیری بیش از ۵۰ میلیون تومان درآمد داشته‌اند.

در این گزارش «على جلال نژاد»، مدیر تضمین امنیت ایرانسل از عدم امکان استخدام متخصصان امنیت در شرکت‌ها به علت ذهنیت کنجکاو آن‌ها می‌گوید: «هرچه قدر هم که شرکت ما شرکت بزرگى باشد، امکان ندارد که ما بتوانیم جامعه خیلى بزرگى از متخصصان امنیت و شکارچیان آسیب‌پذیرى که ذهنیت کنجکاوى دارند را استخدام کنیم واز نگاهشان بهره بگیریم. هر قدر هم تیم امنیت بزرگى داشته باشیم، بالاخره افرادى هستند که دیدگاه، خلاقیت و سناریوهاى متفاوتى در ذهن دارند که ما به آن‌ها دسترسى نداریم.»

در این میان به نظر می‌رسد که کسب‌وکارهای مربوط به اینترنت و سرویس‌های اینترنتی حضور پررنگ‌تری در باگ‌بانتی داشته‌اند در حالی که کسب‌وکارهای حوزه خدمات مالی با اختلاف کمی در جایگاه دوم ایستاده‌اند.

در این گزارش در قالب پرسشنامه‌ از جامعه شکارچیان اطلاعاتی کسب شده که اطلاعات آن در قالب نمودار منتشر شده است. برای مثال ۲۷ درصد از هکرهایی که در این آمارگیری شرکت کرده‌اند،‌ انگیزه خود از هک کردن را حل کردن چالش و کسب درآمد دانسته‌اند در حالی که هدف یادگیری با اختلاف درصد کمی در جایگاه سوم قرار دارد.

نکته جالب اینجاست که بیشتر شکارچیان امنیت، این حرفه را به صورت خودخوان یاد گرفته‌اند بعد از آن با اختلاف، رتبه در دست یادگیری آنلاین و دوره‌های آموزشی است. در بین این هکرها، ۲۴ درصد به صورت برابر فریلنسر هستند یا در جایی مشغول به کار نیستند،‌ ۲۳ درصد آن‌ها قراردادی کار می‌کنند اما نکته جالب اینجاست که در این میان، ۳ درصد از این هکرهای کلاه‌سفید استخدام دولت هستند.

میزان زمانی که هکرها در هفته برای فعالیت خود می‌گذارند، متغیر است برای مثال ۲۰ درصد از هکرها بالای ۴۰ ساعت در هفته را برای هک کردن زمان می‌گذارند که تقریباً معادل ساعت کاری کامل در هفته است در حالی که بیشتر این هکرها از درآمد دریافتی خود راضی نیستند.

با توجه به اینکه فرهنگ باگ‌بانتی در ایران چندان جاافتاده نیست و مبالغ دریافتی هکرها هم زیاد نیست تعجبی ندارد که ۷۸ درصد از هکرها در پاسخ به این سوال آیا تا به حال شده باگی را پیدا کنند و گزارش ندهند، جواب مثبت داده‌اند. البته دلایل آن‌ها متفاوت بوده‌ است اما «عضو نبودن در پلتفرم باگ‌بانتی» اصلی‌ترین دلیل در بین هکرهای کلاه سفید برای گزارش نکردن باگ‌هایی است که پیدا کرده‌اند.