ภาพรวมสังคมแฮกเกอร์แจ้งช่องโหว่รับรางวัล ส่วนใหญ่ไม่ได้ทำเพื่อเงินเป็นหลัก

หัวข้อกระทู้ ใน 'เทคโนโลยี' เริ่มโพสต์โดย iPokz, 2 กุมภาพันธ์ 2018.

  1. iPokz

    iPokz ~" iPokz "~ Staff Member

    เราเห็นบริษัทไอทีหลายบริษัทตั้งรางวัลให้กับผู้ที่พบช่องโหว่ในซอฟต์แวร์ของตัวเองอยู่เนืองๆ (Bug Bounty) บ้างก็มีโครงการเป็นการภายในอย่างของ Google บ้างก็ใช้งานบริษัทภายนอก ซึ่ง HackerOne ถือเป็นผู้ให้บริการและเจ้าของแพลตฟอร์มรายงานชองโหว่ที่ใหญ่ที่สุดเจ้าหนึ่ง

    HackerOne ได้ออกรายงาน "The 2018 Hacker Report" พูดถึงภาพรวมของสังคมแฮกเกอร์ที่อยู่ในแพลตฟอร์มตัวเอง โดยคีย์หลักของรายงานนี้บอกว่าการรายงานบั๊ก ได้สร้างรายมหาศาลให้กับแฮกเกอร์ระดับท็อปๆ ขณะที่แรงจูงใจสำคัญที่แฮกเกอร์เข้ามาร่วมในแพลตฟอร์มของ HackerOne ไม่ได้มีเงินเป็นปัจจัยหลัก แต่เป็น "การเรียนรู้ทิปและเทคนิคต่าง" ไปจนถึง "เพื่อความสนุกและท้ายทายตัวเอง"

    [​IMG]
    Bug Bounty สร้างรายได้มากกว่าที่คิด


    HackerOne ระบุว่าแฮกเกอร์ระดับท็อปที่รายงานช่องโหว่อยู่บนแพลตฟอร์ม HackerOne มีรายได้เฉลี่ยสูงกว่าเงินเดือนเฉลี่ยของวิศวกรซอฟต์แวร์ในบ้านเกิดตัวเองราว 2.7 เท่า (คิดเฉลี่ยรวมกันทั่วโลก) ขณะที่เมื่อแยกเป็นประเทศ อินเดียมีตัวเลขรายได้เฉลี่ยเมื่อเทียบกับเงินเดือนเฉลี่ยของวิศวกรซอฟต์แวร์ในประเทศสูงที่สุดถึง 16 เท่า โดยจำนวนแฮกเกอร์ชาวอินเดียมีสัดส่วนสูงที่สุดในแพลตฟอร์ม HackerOne ด้วยเช่นกัน

    เงินไม่ใช่แรงจูงใจหลักสำหรับแฮกเกอร์


    ถึงแม้รายได้จะดูดี แต่ทว่าแรงจูงใจหลักที่แฮกเกอร์ส่วนใหญ่เข้าร่วมในแพลตฟอร์ม HackerOne คือการเรียนรู้ทิปและเทคนิคต่างๆ ที่ 14.7% ตามมาด้วยเหตุผลว่า เพื่อความสนุกและท้าทายตัวเองที่ 14% ก่อนที่เหตุผลด้านการเงินจะตามมาเป็นอันดับ 3 ที่ 13.1%

    [​IMG]

    ในทางตรงกันข้าม เมื่อถามแฮกเกอร์ถึงเหตุผลในการเลือกบริษัทหรือองค์กรที่จะแฮก เหตุผลส่วนใหญ่กว่า 23% กลับเลือกที่ว่าบริษัทไหนให้เงินรางวัลมากที่สุด ตามมาด้วยความท้าทายหรือโอกาสที่จะได้เรียนรู้, เลือกตามแบรนด์ที่ชอบ, การตอบสนองของทีมความปลอดภัยและบริษัทนั้นเป็นที่รู้จัก

    ใดๆ ในโลกล้วนถูกแฮก


    ส่วนช่องทางในการแฮกที่แฮกเกอร์ส่วนใหญ่จะเลือกก่อนคือเว็บแอปซึ่งสูงถึง 70.8% ตามมาห่างๆ ด้วย APIs ที่ 7.5% และเทคโนโลยีใดๆ ก็ตามที่มีข้อมูลของแฮกเกอร์อยู่ที่ 5%

    ส่วนวิธีการโจมตีกว่า 28% เลือกช่องโหว่ Cross Site Scripting (XSS) ตามมาด้วย SQL Injection ที่ 23.1%, Fuzzing 5.5% และ Brute Force 4.5% ขณะที่เครื่องมือที่แฮกเกอร์ส่วนใหญ่เลือกคือ Burp Suite ที่ 29.3% ส่วนอันดับ 2 ที่ 15.3% เลือกที่จะสร้างเครื่องมือขึ้นมาเอง

    [​IMG]

    ปิดท้ายที่ข้อมูลประชากรศาสตร์ของแฮกเกอร์ โดยกว่า 90% อายุต่ำ 35 แยกย่อยออกมาเป็นต่ำกว่า 50% และต่ำกว่า 18 ที่ 8% ทำให้สัดส่วนอาชีพที่เข้ามาเป็นแฮกเกอร์บนแพลตฟอร์ม HackerOne กว่า 25% เป็นนักเรียน ขณะที่ส่วนใหญ่กว่า 46.7% ทำงานด้านไอที

    ที่มา - HackerOne Report

    Topics: HackerOne
     
    iPokz, 2 กุมภาพันธ์ 2018
    #1

แบ่งปันหน้านี้