یوسف سامودا یک محقق امنیتی تونسی است که بر برنامههای پاداش باگ تمرکز میکند. او خود را به عنوان "محقق آسیب پذیری با جذابیت به برنامه های کاربردی وب و آسیب پذیری های امنیتی که آنها را تحت تاثیر قرار می دهد" توصیف می کند. او در سال های 2021، 2020 و 2019 مقام اول را در برنامه Whitehat فیس بوک به دست آورد.
او گفت: «در پنج سال گذشته (یعنی از اواسط تا اواخر نوجوانیاش) روی انجام ارزیابیهای آسیبپذیری در برخی از بزرگترین شرکتهای جهان، عمدتاً متا و گوگل، و شرکت در مسابقات هک تمرکز کردهام. . همچنین در حال حاضر به عنوان مشاور امنیتی در شرکت های نوپا کار می کنم.
این سفر در اوایل زندگی او آغاز شد. او از دوازده سالگی برنامه نویسی را آغاز کرد – اما بدون هیچ شغلی برای فردی که هنوز در سنین نوجوانی اش نبوده است، «من مسیر هک عمومی و تست نفوذ را دنبال کردم. انجام این کار از نظر قانونی آسان نبود. نگرش امروزی نسبت به تحقیقات Whitehat وجود نداشت. و هیچ برنامه پاداش باگ برای رسمی کردن قانونی بودن وجود نداشت.
اما به جای جایزه، همانطور که در یک برنامه جایزه باگ اتفاق میافتد، فرماندار ایالت دستور داد تا سربازان ایالتی با هدف بررسی اتهامات جنایی (به دلیل هک) علیه روزنامهنگار تحقیق کنند. در پایان، هیچ اتهامی مطرح نشد زیرا هیچ هک رخ نداده است. یک عنصر کلیدی برای هک، اجتناب یا دور زدن فرآیندهای احراز هویت است – اما هیچ فرآیند احراز هویت وجود نداشت: داده ها به وضوح در HTML قابل مشاهده بودند که توسط هرکسی با مرورگر قابل مشاهده بود.
برای جلوگیری از هرگونه مشکل قانونی، سامودا به مسابقات Capture the Flag (CTF) روی آورد تا مهارتهای خود را تقویت کند و دانشی در زمینه امنیت برنامههای وب و موبایل به دست آورد. با گذشت سالها، او به نقطه ای رسید که می توانست بین کار آزاد یا پیوستن به یک شرکت به عنوان مهندس امنیت اپلیکیشن یکی را انتخاب کند. در همین دوره، برنامههای پاداش باگ به عنوان یک منبع درآمد بالقوه برای یک محقق ظاهر شد.
او به سکیوریتی ویک گفت: «میل به کار برای خودم قویتر از تمایل به کار در یک شرکت بود . «احساس میکردم که اگر برای شرکتی مانند فیسبوک کار کنم، به زیرساختهای آنها گره میخورم و با رویکردهای آنها محدود میشوم. من این را نمی خواستم. من چیزی می خواستم که بتوانم همیشه چیزهای جدیدی را با فناوری های جدید یاد بگیرم. بهعنوان یک محقق، من بهجای یک شرکت، بهطور مؤثر برای و با هر شرکتی کار میکنم.»
و به این ترتیب، یک شکارچی پاداش حشرات مستقل متولد شد.
Sammouda یک شکارچی موفق جایزه است. او به SecurityWeek گفت: «با متا و گوگل، من سالانه حدود 400000 دلار درآمد دارم . در دوازده ماه گذشته، نزدیک به 900000 دلار بود. به طور کلی، او تاکنون حدود 140 باگ پیدا کرده است - حدود 120 باگ در فیس بوک و 20 باقی مانده در گوگل و چند شرکت بزرگ دیگر. بنابراین، او چگونه این کار را انجام می دهد؟
این تا حد زیادی در مورد آماده سازی و برنامه ریزی است. برنامه ریزی در یک رویکرد حرفه ای به کار خود را نشان می دهد. میزان درآمد شما به کمیت و کیفیت اشکالاتی که در هر سال پیدا می کنید بستگی دارد. اما می توانید در صفحه سیاست برنامه متوجه شوید که برای یک اشکال خاص چقدر پرداخت شده است. و می توانید سال خود را با ارزش تخمینی میزان درآمدتان در طول سال برنامه ریزی کنید. او به برنامه ریزی جریان نقدی توجه می کند.
این آمادگی از سالهایی حاصل میشود که او از زمانی که برنامهنویسی را در دوازده سالگی شروع کرد و در مسابقات Capture the Flag شرکت کرد، برای یادگیری حرفهاش گذراند. اکنون او مطمئن است که هر زمان که شروع به جستجو کند، یک اشکال را پیدا خواهد کرد.
اکثر محققان حداقل از پتانسیل فروش آسیب پذیری های کشف شده به مجرمان در وب تاریک آگاه هستند. سامودا یک کد اخلاقی قوی دارد و هرگز شخصاً وسوسه نشده است. او توضیح داد: «در گذشته، هکرها باید کلاه سیاه میبودند، زیرا این تنها راه کسب درآمد از مهارتهای آنها بود. اما امروزه فکر نمی کنم لازم باشد. با چیزهایی مانند شکار جایزه حشرات و برنامههای مشابه، میتوانید میلیونها دلار بهطور قانونی کسب کنید – بنابراین کلاه سیاه بودن منطقی نیست.
جدای از منطق، این به قوانین اخلاقی شخصی او برمی گردد. او ادامه داد: «برای من، جدای از موهبتها، احساس میکنم باید از کاربران محافظت کنم. با مهارتهایم احساس وظیفه میکنم که از کاربران آنلاین محافظت کنم.»
پیشنهاداتی وجود دارد مبنی بر اینکه ژئوپلیتیک می تواند در تفاوت بین کلاه سیاه و کلاه سفید بودن نقش داشته باشد. یعنی در برخی از مناطق جغرافیایی ممکن است کسب سود صادقانه از تحقیقات دشوارتر باشد. او پاسخ داد: «من در تونس زندگی میکنم، و هرگز احساس نکردهام که انجام جایزههای حشرات از هر نقطهای در جهان غیرممکن است. اولاً، این کار آنلاین است. ثانیاً پاداشها معقول هستند و میتوانید با ارز دیجیتال پول دریافت کنید. بنابراین، میتوانید از هر کجای دنیا جایزههای باگ را انجام دهید. درست است که برخی از محققان ممکن است ترجیح دهند در برخی زمینه ها برای دولت خود کار کنند، اما همیشه انتخاب درستی وجود دارد
