«هاكر وان» تسعى للوساطة بين القراصنة وشركات التكنولوجيا
غالباً ما ترد العلاقة بين شركات التكنولوجيا والقراصنة في سياق العداء المتبادل، إذ قد تنتهي ثغرات أمنية واستغلالها على نحو سيئ بخسارة الشركات مبالغ طائلة، فضلاً عن استياء المستهلكين وتضرر سمعتها، لكن شركة «هاكر وان» الناشئة تطمح إلى تغيير هذه العلاقة ليُسهم القراصنة في حل المشكلات عوضاً عن التسبب فيها.
وتعتمد فكرة «هاكر وان» HackerOne، التي تتخذ من مدينة سان فرانسيسكو الأميركية مقراً لها، على الوساطة بين الشركات والقراصنة من أصحاب «القبعات البيضاء»، أو «القراصنة الأخلاقيين»، ليُبلغوا الشركات بالثغرات الأمنية بدلاً من استغلالها أو بيعها إلى شبكات إجرامية، وفي المقابل تدفع الشركات مكافآت مجزية، وتحصل «هاكر وان» على حصةٍ منها.
مسار مهني
وفي عام 2014، نجحت «هاكر وان» في جذب بعض من أكبر شركات التقنية إلى خدمتها، منها «ياهو» و«سكوير» و«تويتر»، إضافة إلى عدد من المصارف وشركات النفط. كما أقنعت مستثمري رأس المال المخاطر بمستقبلها الواعد والمربح في ظل وجود مليارات الأجهزة المتصلة بشبكة الإنترنت، واعتبار الثغرات أمراً لا مفر منه.
وتحصل «هاكر وان» على نسبة 20% من كل مكافآة تُدفع من خلالها.
وقال الشريك في شركة «بنشمارك» التي استثمرت تسعة ملايين دولار في «هاكر وان»، بيل جورلي: «ستفعل كل شركة هذا، فالإحجام عن التجربة يعد إهمالاً بالغاً».
بدورها، أشارت الرئيسة التنفيذية للسياسات في «هاكر وان» التي أنشأت برنامج المكافآت في «مايكروسوفت»، كاتي موسوريس، إلى رغبة «هاكر وان» في توفير مسار مهني قابل للحياة للقراصنة.
مرحلة التأسيس
وأسس «هاكر وان» أربعة أشخاص منهم الهولنديان ميشيل برينس، وجوبرت أبما، وخاضا تجربة في عام 2011 حين قررا تحديد قائمة تضم 100 من أهم شركات التكنولوجيا لاختراق أنظمتها، حملت اسم «هاك 100»، واكتشفا لاحقاً ثغرات أمنية في كلٍ من «فيس بوك»، «غوغل»، «تويتر»، «مايكروسوفت»، وغيرها.
وأرسل برينس وأبما تنبيهات لهذه الشركات لتصليح الثغرات الأمنية، لكن استجابتها تفاوتت، إذ مثّل التجاهل موقف ثلث الشركات، بينما شكرهم الثلث الثاني باقتضاب ودون علاج أوجه الخلل، وسارع بقيتها لحل المشكلات. واشترك معهما في «هاكر وان»، ميرجين تيريجن، وهو رائد أعمال هولندي يعيش في وادي السيليكون، ثم التقى الثلاثة بالمؤسس الرابع خلال تجربة «هاك 100»؛ فحين أرسلوا رسالة عبر البريد الإلكتروني إلى الرئيسة التنفيذية للعمليات في «فيس بوك»، شيرل ساندبرج، للإشارة إلى ثغرة في أنظمة الشركة، سلمت الرسالة إلى المسؤول حينها عن أمن منتجات «فيس بوك»، ألكس رايس، الذي دعاهم لتناول الغذاء واشترك معهم في علاج المشكلة، وقدم مكافآة بلغت 4000 دولار، ثم انضم إليهم في العام التالي.
ثغرات أمنية
وفي غياب ما تسمى ببرامج المكافآت التي تدفعها الشركات نظير تنبيهها للثغرات الأمنية، يظل القراصنة الذين يكتشفون ثغرات أمنية في نظم الكمبيوتر في الشركات أمام خيارين: أولهما تسليمها إلى شبكات إجرامية، أو جهات حكومية تحتفظ بهذه الثغرات في ترسانة إلكترونية، وكثيراً ما تبقى العيوب دون إصلاح. وأما الخيار الثاني فيتمثل في تنبيه الشركات لعلاجها وغالباً ما يتم تجاهلهم أو يتعرضون لتهديدات بالسجن.
ويبحث مجرمو الإنترنت باستمرار عن أوجه النقص في أنظمة الشركات، إذ استغل بعضهم ثغرة في أنظمة تكييف الهواء في متاجر «تارغت» الأميركية، ونجحوا من خلالها في اختراق أنظمة الدفع، ما أدى إلى تسريب بيانات البطاقات الائتمانية لملايين من متعاملي سلسلة متاجر التجزئة.
كما تهتم وكالات حكومية بمثل هذه الثغرات ضمن برامج المراقبة، وكجزء من ترسانات الأسلحة الإلكترونية مثل دودة الحاسب «ستوكسنت» Stuxnet التي أسهمت الولايات المتحدة في تطويرها، واستخدمت ثغرات عدة لتدمير أجهزة الطرد المركزي لليورانيوم في إحدى المنشآت النووية.
ومما يعكس أهمية الثغرات الأمنية للترسانات الإلكترونية الحكومية، تقديم جهة حكومية أميركية نصف مليون دولار مُقابل الحصول على ثغرة واحدة اكتشفها أحد القراصنة في نظم تشغيل «آي أو إس» من شركة «أبل» الأميركية. وربما لم تكن «أبل» لتدفع للمتسلل نظير إصلاحها، وقد تستعين شركات أخرى بالشرطة، ما يُقدم حافزاً سلبياً للقراصنة، وهو واقع ترغب «هاكر وان» في تغييره.
برامج المكافآت
واتجهت شركات التكنولوجيا إلى مكافأة القراصنة قبل خمس سنوات، ومنذ ذلك الحين قدمت «غوغل» أكثر من أربعة ملايين دولار للقراصنة. وأسهم كلٌ من «رايس» و«موسوريس» في تأسيس برامج المكافآت في «فيس بوك» و«مايكروسوفت».
وانضمت «ياهو» إلى الركب بعدما أدركت أن الاكتفاء بالشكر أو إرسال هدايا رمزية لم يعد مُجدياً. وبدأ مدير «ياهو» للأمن، رامسيس مارتينز، برنامج المكافآت في الشركة عام 2013 بعدما انتقد اثنان من القراصنة «ياهو» لإرسالها قمصاناً مقابل إبلاغهما عن أربع ثغرات أمنية كانت لتجلب لهما آلاف الدولارات عند بيعها في السوق السوداء.
أوليفر بيج
وحتى الآن يقترب عدد القراصنة المسجلين في «هاكر وان» من 1500، أصلحوا نحو 9000 ثغرة أمنية، وتلقوا أكثر من ثلاثة ملايين دولار مكافآت، ومنهم أوليفر بيج الذي يبلغ من العمر 18 عاماً، الذي بدأ التسلل إلى أنظمة خدمات مثل «باي بال» و«فيس بوك» بدافع الفضول حين كان في الـ13 من عمره.
واكتشف «أوليفر» 10 ثغرات في «باي بال» وواحدة في «فيس بوك»، وكسب من ذلك نحو 5000 دولار. وضمن تعاونه مع «هاكر وان» توصل لاحقاً إلى 26 ثغرة أمنية في أنظمة شركات مختلفة، ونال مكافآت تجاوز 40 ألف دولار.
ويُدرك «أوليفر» طبيعة الخيارات الأخرى بتسليم هذه الثغرات إلى جهات خارجية، إذ عرض عليه وسيط حكومي 3000 دولار مُقابل خلل بسيط في منصة «ووردبرس» للتدوين، واستحقاق نقاط الضعف الأكثر خطورة لمُقابل أكبر، لكن أوليفر رفض العرض قائلاً: «لا تتوافر لديك فكرة عن كيفية استخدامها، أو من سيستخدمها».
وأضاف أن الوسطاء يطلبون من القراصنة ألا يُخبروا أحداً بما توصلوا إليه، ما يحرمهم بعض متعة الاكتشاف.