เราเห็นบริษัทไอทีหลายบริษัทตั้งรางวัลให้กับผู้ที่พบช่องโหว่ในซอฟต์แวร์ของตัวเองอยู่เนืองๆ (Bug Bounty) บ้างก็มีโครงการเป็นการภายในอย่างของ Google บ้างก็ใช้งานบริษัทภายนอก ซึ่ง HackerOne ถือเป็นผู้ให้บริการและเจ้าของแพลตฟอร์มรายงานชองโหว่ที่ใหญ่ที่สุดเจ้าหนึ่ง

HackerOne ได้ออกรายงาน "The 2018 Hacker Report" พูดถึงภาพรวมของสังคมแฮกเกอร์ที่อยู่ในแพลตฟอร์มตัวเอง โดยคีย์หลักของรายงานนี้บอกว่าการรายงานบั๊ก ได้สร้างรายมหาศาลให้กับแฮกเกอร์ระดับท็อปๆ ขณะที่แรงจูงใจสำคัญที่แฮกเกอร์เข้ามาร่วมในแพลตฟอร์มของ HackerOne ไม่ได้มีเงินเป็นปัจจัยหลัก แต่เป็น "การเรียนรู้ทิปและเทคนิคต่าง" ไปจนถึง "เพื่อความสนุกและท้ายทายตัวเอง"

Bug Bounty สร้างรายได้มากกว่าที่คิด

HackerOne ระบุว่าแฮกเกอร์ระดับท็อปที่รายงานช่องโหว่อยู่บนแพลตฟอร์ม HackerOne มีรายได้เฉลี่ยสูงกว่าเงินเดือนเฉลี่ยของวิศวกรซอฟต์แวร์ในบ้านเกิดตัวเองราว 2.7 เท่า (คิดเฉลี่ยรวมกันทั่วโลก) ขณะที่เมื่อแยกเป็นประเทศ อินเดียมีตัวเลขรายได้เฉลี่ยเมื่อเทียบกับเงินเดือนเฉลี่ยของวิศวกรซอฟต์แวร์ในประเทศสูงที่สุดถึง 16 เท่า โดยจำนวนแฮกเกอร์ชาวอินเดียมีสัดส่วนสูงที่สุดในแพลตฟอร์ม HackerOne ด้วยเช่นกัน

เงินไม่ใช่แรงจูงใจหลักสำหรับแฮกเกอร์

ถึงแม้รายได้จะดูดี แต่ทว่าแรงจูงใจหลักที่แฮกเกอร์ส่วนใหญ่เข้าร่วมในแพลตฟอร์ม HackerOne คือการเรียนรู้ทิปและเทคนิคต่างๆ ที่ 14.7% ตามมาด้วยเหตุผลว่า เพื่อความสนุกและท้าทายตัวเองที่ 14% ก่อนที่เหตุผลด้านการเงินจะตามมาเป็นอันดับ 3 ที่ 13.1%

ในทางตรงกันข้าม เมื่อถามแฮกเกอร์ถึงเหตุผลในการเลือกบริษัทหรือองค์กรที่จะแฮก เหตุผลส่วนใหญ่กว่า 23% กลับเลือกที่ว่าบริษัทไหนให้เงินรางวัลมากที่สุด ตามมาด้วยความท้าทายหรือโอกาสที่จะได้เรียนรู้, เลือกตามแบรนด์ที่ชอบ, การตอบสนองของทีมความปลอดภัยและบริษัทนั้นเป็นที่รู้จัก

ใดๆ ในโลกล้วนถูกแฮก

ส่วนช่องทางในการแฮกที่แฮกเกอร์ส่วนใหญ่จะเลือกก่อนคือเว็บแอปซึ่งสูงถึง 70.8% ตามมาห่างๆ ด้วย APIs ที่ 7.5% และเทคโนโลยีใดๆ ก็ตามที่มีข้อมูลของแฮกเกอร์อยู่ที่ 5%

ส่วนวิธีการโจมตีกว่า 28% เลือกช่องโหว่ Cross Site Scripting (XSS) ตามมาด้วย SQL Injection ที่ 23.1%, Fuzzing 5.5% และ Brute Force 4.5% ขณะที่เครื่องมือที่แฮกเกอร์ส่วนใหญ่เลือกคือ Burp Suite ที่ 29.3% ส่วนอันดับ 2 ที่ 15.3% เลือกที่จะสร้างเครื่องมือขึ้นมาเอง

ปิดท้ายที่ข้อมูลประชากรศาสตร์ของแฮกเกอร์ โดยกว่า 90% อายุต่ำ 35 แยกย่อยออกมาเป็นต่ำกว่า 25 ที่ 50% และต่ำกว่า 18 ที่ 8% ทำให้สัดส่วนอาชีพที่เข้ามาเป็นแฮกเกอร์บนแพลตฟอร์ม HackerOne กว่า 25% เป็นนักเรียน ขณะที่ส่วนใหญ่กว่า 46.7% ทำงานด้านไอที

ที่มา - HackerOne Report