۵۲ هکر قانونی در ۶ سایت فعال در حوزه طلا و صرافی‌های رمزارز ۱۵۰ آسیب‌پذیری یافتند

دومین رویداد باگ پارتی راورو با حضور ۵۲ هکر قانونی و با تمرکز بر سایت‌های طلا و رمزارز برگزار شد؛ رویداد باگ‌پارتی با حمایت پلیس فتا، معاونت علمی و فناوری ریاست‌جمهوری، صندوق شکوفایی و نوآوری و با حضور سایت‌های طلاین، میلی گلد، آبان تتر، اتراکس، والکس و نوبیتکس برگزار شد

نویسنده: مریم آزادی طلب انتشار: 12 اسفند سال 1403 ساعت 9:23 0

دومین رویداد باگ پارتی روزهای ۹ و ۱۰ اسفند در سالن هگمتانه هتل المپیک برگزار شد. در این رویداد ۵۲ هکر قانونی در ۶ سایت فعال در حوزه طلا و صرافی‌های رمزارز ۱۵۰ آسیب‌پذیری یافتند. در اختتامیه این رویداد، حسین امیرلی، جانشین رئیس پلیس فتا فراجا، جواد مختاررضایی، معاون اجتماعی پلیس فتا و مدیران فنی ۶ سایت طلاین، میلی گلد، آبان تتر، اتراکس، والکس و نوبیتکس حضور داشتند. حامیان این رویداد معاونت علمی، صندوق شکوفایی، پلیس فتا و انجمن بلاکچین بودند.

۵۲ باگ هانتر، ۶ سایت طلا و رمزارز و ۳ میلیارد تومان جایزه

رویداد باگ پارتی تمرکز خود را بر دو حوزه طلا و رمزارز گذاشته بود. ۵۲ هکر کلاه‌سفید از میان بیش از ۵۳۰۰ نامزد انتخاب شده بودند که ۸ نفر از آن‌ها زن و ۴۴ نفر مرد بودند. به گفته برگزارکنندگان، میانگین سنی باگ هانترها در این رویداد ۲۲ سال بود. مجموع جوایز این رویداد سه میلیارد تومان بود که ۵۵۰ میلیون تومان آن به باارزش‌ترین گزارش آسیب‌پذیری تعلق گرفت. امیر پیامنی، محمدجواد منابی و امیرحسین رئیسی به ترتیب نفر اول تا سوم این رویداد بودند. در کل ۱۵۰ آسیب‌پذیری در این رویداد گزارش شد. همچنین میدان‌های همکار در این رویداد از طرف پلیس فتا تقدیرنامه دریافت کردند.

محمدامین کریمان، راهبر اجرایی و هم بنیان‌گذار پلتفرم باگ بانتی راورو، در گفت‌وگو با راه‌پرداخت هدف این رویداد را دفاع از سایت‌های طلا و رمزارز در برابر حملات خارجی اعلام کرد و توضیح داد: «ما به روش تهاجمی و در محیط کنترل شده و امن که هم متخصصین و هم بستر سایت تحت نظارت هستند، شروع به شناسایی آسیب‌پذیری‌ها می‌کنیم.»

کریمیان با اشاره به اولین رویداد راورو که ۸ آبان در پارک پردیس فناوری و در حوزه بانکی برگزار شده بود بیان کرد: «این رویداد در حوزه طلا و رمزارز است که در حال حاضر کاربران میلیونی و سامانه‌های امن دارند و ما داریم تلاش می‌کنیم هم‌زمان شناسایی آسیب‌پذیری‌ها به این سامانه‌ها در ارتقای امنیت کمک کنیم.»

امنیت سایبری فقط وظیفه حاکمیت نیست

اختتامیه رویداد باگ پارتی با سخنرانی محمدامین کریمان شروع شد. او در سخنان خود از برگزارکنندگان و حامیان این رویداد تشکر کرد و بعد از ارائه آماری که در بالا آمد، از سردار حسین امیرلی دعوت کرد تا صحبت کند.

حسین امیرلی امنیت در فضای مجازی را مأموریت پلیس فتا دانست و در مورد اهمیت امنیت کسب‌وکارها گفت: «کسب‌وکارهای حوزه عمومی گاهی از زیرساخت‌های هم مهم‌تر هستند. بحث امنیت هم فقط بحث حاکمیتی نیست و بخش خصوصی حتماً باید به این حوزه ورود کند.»

امیرلی افزود: «تلاش ما در پلیس فتا، برون‌سپاری امنیت سایبری، ایجاد بیمه سایبری و شریک کردن افرادی چون شما در این حوزه است. ان‌شاءالله خروجی این تلاش‌ها هم ارتقای امنیت سایبری کشور خواهد بود.»

مأموریت پلیس فتا در ارتقای امنیت سایبری کسب‌وکارهای داخلی

طبق گفته سرهنگ جواد مختاررضایی تمرکز پلیس فتا بر حفظ حریم خصوصی و امنیت سرمایه‌های مردم است. در راستای این مأموریت، پلیس فتا اقداماتی چون تشکیل تیم‌های واکنش سریع به حملات سایبری، ارائه مشاوره به کسب‌وکارهای مجازی و انجام ممیزی‌های امنیتی انجام داده است. یکی از برنامه‌های مهم پلیس فتا، حمایت از هکرهای کلاه‌سفید و باگ هانترهایی است که به‌صورت قانونی، سالم و اخلاقی در حوزه امنیت سایبری فعالیت می‌کنند.

رضایی در پاسخ به خبرنگار راه‌پرداخت به اهمیت برنامه‌های باگ بانتی اشاره کرد و توضیح داد: «در گذشته، بسیاری از باگ هانترها با برخوردهای منفی از جمله اقدام قضایی از سوی کسب‌وکارهای داخلی مواجه می‌شدند. اما امروزه بسیاری از پلتفرم‌های داخلی ضمن برخوردی حرفه‌ای‌تر با این موضوع، سامانه‌ها و سایت‌های خود را در معرض برنامه‌های باگ بانتی قرار می‌دهند. این کسب‌وکارها با این اقدام، پیامی مهم به کاربران خود ارسال می‌کنند که برای امنیت و بلوغ امنیت، متناسب با رشد کسب‌وکارشان تلاش کرده‌اند.»

رضایی در پایان تأکید کرد: «پلیس فتا از پلتفرم‌های باگ بانتی حمایت می‌کند. برنامه‌های باگ بانتی در حال گسترش هستند و این رویدادها بر اساس اولویت‌ها و تهدیدات در حوزه‌های مختلف ادامه خواهند داشت. اهداف این رویداد، کسب‌وکارهای فین‌تکی حوزه طلا و رمزارز بوده که طبیعتاً به دلیل فعالیت مالی و نگهداری سرمایه‌های مردم، از اهمیت ویژه‌ای هم برخوردارند. مشارکت شرکت‌های فعال در حوزه رمزارز و طلا در رویدادهای باگ بانتی، نشان دهنده اهتمام آن‌ها برای حریم خصوصی و حفظ امنیت سرمایه‌های کاربران است. ما در مجموعه پلیس فتا تلاش خواهیم کرد که این رویدادها را به دیگر حوزه‌های کسب‌وکاری فضای مجازی دیگر هم تعمیم دهیم.»

سامانه‌های خصوصی درک بهتری از امنیت دارند و سایت‌های امن‌تری هستند

مجید عسکرزاده، رئیس هیئت‌مدیره راورو، کیفیت رویداد باگ پارتی را وابسته به کیفیت میدان‌ها و کیفیت شکارچیان اعلام کرد و گفت: «میدان‌های این رویداد حوزه‌های تخصصی هستند و شکارچی‌ها باید از قبل دانش‌های تخصصی را مرور می‌کردند. ما از افرادی دعوت کردیم که از قبل با این حوزه‌ها آشنا باشند.»

به گفته عسکرزاده مهم‌ترین دستاورد این رویداد پی بردن به امنیت بالای بسیاری از حوزه‌های امنیتی سایت‌های طلا و رمزارز بود؛ بااین‌حال بعضی از سامانه‌ها نیاز به دقت و امنیت بالاتری دارند. او اعلام بعضی از آسیب‌پذیری‌های حیاتی را برای ایجاد انگیزه برای تمرکز و حل این آسیب‌پذیری دانست و گفت: «در این رویداد آسیب‌های کریتیکالی از جمله دسترسی ادمین و بایپس کردن احراز هویت هم پیدا شده است؛ اما نسبت به حوزه قبلی که ما رویداد برگزار کردیم خطاهای کمتری گزارش شده است. این نشان داد که سامانه‌های بخش خصوصی سامانه‌های محکم‌تری هستند و متولیان این سامانه‌ها نیاز به امنیت را بهتر درک کرده بودند.»

او ادامه این نوع رویدادها را در سه رویکرد توضیح داد: «ما به‌صورت فعال رویدادهای عمومی را دنبال خواهیم کرد. رویکرد دوم برگزاری این رویدادها به‌صورت داخلی در سازمان‌ها و هلدینگ‌ها است که جاهای مختلفی متقاضی این رویدادها بوده‌اند. رویکرد سوم مرتبط با نهادهای حاکمیتی است که به حمایت معاونت علمی، صندوق شکوفایی و پلیس فتا این اتفاق رخ داده است و به دنبال این هستیم تا نهادهای دیگر را هم درگیر کنیم.»

محدود بودن اسکوپ‌ها و تارگت‌ها در رویداد باگ پارتی

مدیر فنی طلاین با اشاره به میانگین سنی پایین شرکت‌کنندگان گفت: «این نوع رویداد به‌تازگی در ایران برگزار می‌شود و سطح بالایی دارد. شرکت‌کنندگان سن پایینی دارند و ابتدای راه هستند و مسیر بسیار خوبی در پیش دارند.» حمایت طلاین از این رویداد باگ پارتی یک میلیارد تومان بود که به باارزش‌ترین آسیب‌پذیری گزارش شده ۳۰۰ میلیون تومان تعلق می‌گیرد. به گفته مدیر فنی طلاین ۴ آسیب‌پذیری سطح پایین از سایت طلاین گزارش شده است که هر کدام باتوجه‌به سطح گزارش جایزه نقدی دریافت می‌کنند.

باگ هانتر ۲۱ساله این رویداد در پاسخ به خبرنگار راه‌پرداخت گفت: «سطح رویداد بالا بود و پیدا کردن آسیب‌پذیری از تارگت‌ها هم به دلیل پیچیدگی منطق کسب و کاری‌شان و گستردگی موضوع سخت بود. اما تارگت‌ها و اسکوپ‌ها خیلی محدود بودند و سایت‌ها انتظار داشتند از یک صفحه و یک سری عملیات خاص آسیب‌پذیری پیدا کنیم درحالی‌که در اسکوپ‌های دیگر هنوز یک سری آسیب‌پذیر‌های حیاتی دیگر باقی مانده است. این بزرگ‌ترین نقطه‌ضعف رویداد از نظر من بود.»

سرعت و کیفیت اینترنت در این رویداد هم یکی از دغدغه‌های اصلی برگزارکنندگان بود که تدابیر مختلفی را برای مدیریت این معضل دیده بودند.