ارزش باگ بانتی در ایران

ارزش باگ‌بانتی در ایران؛ فاصله عددی، شکاف ساختاری

باگ‌بانتی در ایران طی سال‌های اخیر به‌صورت محدود و اغلب غیررسمی رشد کرده است. جدول پرداختی ارائه‌شده نشان می‌دهد که برخی شرکت‌های ایرانی تلاش کرده‌اند برای آسیب‌پذیری‌های حیاتی مانند Remote Code Execution، SQL Injection، Account Takeover و نشت اطلاعات خصوصی کاربران (PII) مبالغ مشخص و نسبتاً بالایی در نظر بگیرند. تمامی این مبالغ به تومان محاسبه شده و در نگاه اول، اعداد بزرگی به نظر می‌رسند؛ اما ارزش واقعی آن‌ها زمانی مشخص می‌شود که با برنامه‌های بین‌المللی مقایسه شوند.

در پلتفرم‌های بین‌المللی مانند HackerOne، Bugcrowd یا برنامه‌های اختصاصی شرکت‌هایی مثل Google، Meta و Apple، یک RCE با privilege escalation معمولاً بین ۲۰٬۰۰۰ تا ۱۰۰٬۰۰۰ دلار پرداخت دارد و در موارد خاص حتی به بیش از این رقم هم می‌رسد. این یعنی در بدترین حالت، ارزش دلاری چنین باگی چند برابر بالاتر از سقف ۳۰۰ میلیون تومان تعیین‌شده در ایران است. حتی آسیب‌پذیری‌هایی مانند Stored XSS یا IDOR با impact واقعی در خارج از ایران می‌توانند چند هزار دلار ارزش داشته باشند، در حالی که در ایران اغلب در بازه‌های پایین‌تر و با سخت‌گیری زیاد پذیرفته می‌شوند.

اما تفاوت اصلی فقط در عدد پرداخت نیست، بلکه در نگاه به امنیت و مسئولیت‌پذیری است. در باگ‌بانتی‌های بین‌المللی، نشت اطلاعات کاربران (PII Leak) یکی از حساس‌ترین موارد محسوب می‌شود؛ زیرا شرکت‌ها تحت فشار مستقیم قوانین سخت‌گیرانه‌ای مثل GDPR، CCPA و HIPAA قرار دارند. یک افشای داده می‌تواند منجر به جریمه‌های چند میلیون دلاری و پیگرد قانونی شود. به همین دلیل، شرکت‌ها برای جلوگیری از چنین ریسکی حاضرند مبالغ بالایی به باگ‌هانترها پرداخت کنند.

در مقابل، در ایران عملاً نهاد مستقل و قدرتمندی برای دفاع از حقوق داده‌های کاربران وجود ندارد. اگر اطلاعات میلیون‌ها کاربر یک سرویس نشت کند، در بسیاری از موارد پیامد حقوقی جدی برای شرکت ایجاد نمی‌شود. همین موضوع باعث شده است که بسیاری از سازمان‌ها:

• نشت اطلاعات را کم‌اهمیت جلوه دهند

• گزارش‌های PII و Access Control را رد یا کم‌ارزش‌گذاری کنند

• و پرداخت باگ‌بانتی را نه یک سرمایه‌گذاری امنیتی، بلکه یک «هزینه‌ی اضافی» ببینند

از سوی دیگر، در بسیاری از برنامه‌های داخلی، معیار پذیرش گزارش‌ها شفاف نیست و گاهی Impact واقعی باگ نادیده گرفته می‌شود. در حالی که در برنامه‌های بین‌المللی، اگر هانتر بتواند سناریوی سوءاستفاده‌ی عملی (PoC) ارائه دهد، حتی باگ‌های به‌ظاهر ساده مثل Open Redirect یا CSRF نیز در صورت داشتن زنجیره‌ی حمله، ارزش مالی پیدا می‌کنند.

در نهایت می‌توان گفت که جدول پرداختی ارائه‌شده، در مقایسه با استانداردهای جهانی، بیشتر یک نسخه بومی‌شده با محدودیت‌های اقتصادی و حقوقی ایران است. تا زمانی که:

• قوانین الزام‌آور حفاظت از داده وجود نداشته باشد،

• نهاد ناظری برای پیگیری حقوق کاربران فعال نباشد،

• و امنیت اطلاعات به‌عنوان یک مسئولیت اجتماعی و قانونی دیده نشود،

باگ‌بانتی در ایران بیشتر یک توافق داوطلبانه و حداقلی باقی می‌ماند، نه یک ابزار جدی برای ارتقای امنیت و اعتماد عمومی.

در زیر یک نمونه شرایط پرداخت گزارش آسیب پذیری را مشاهده می کنید:

ارزش باگ‌بانتی در ایران؛ وقتی جدول پرداخت، خودش حرف می‌زند

جدول پرداختی‌ای که ارائه شده، تصویر روشنی از ارزش‌گذاری امنیت در ایران می‌دهد. در این جدول، برای Remote Code Execution + privilege escalation تا ۳۰۰٬۰۰۰٬۰۰۰ تومان در سطح حیاتی پرداخت در نظر گرفته شده و برای Remote Code Execution ساده نیز رقم ۱۵۰٬۰۰۰٬۰۰۰ تومان دیده می‌شود. در نگاه اول، این اعداد نشان می‌دهند که بعضی شرکت‌ها اهمیت ویژه‌ای برای باگ‌های بحرانی قائل شده‌اند. اما وقتی لایه‌های مختلف جدول را کنار هم می‌گذاریم، مشخص می‌شود که ارزش باگ‌بانتی در ایران بیشتر از آنکه به «استاندارد جهانی» نزدیک باشد، تابعی از شرایط داخلی، میزان بلوغ امنیتی سازمان، و نگاه مدیریتی به ریسک است.

در همین جدول، باگ‌هایی مانند SQL/NoSQL Injection با سقف ۸۰٬۰۰۰٬۰۰۰ تومان، PII / Access Control برای دسترسی به تمام اطلاعات خصوصی کاربران با سقف ۸۰٬۰۰۰٬۰۰۰ تومان، و Account TakeOver - تصاحب حساب بدون کلیک با ۸۰٬۰۰۰٬۰۰۰ تومان قرار گرفته‌اند. این موضوع از نظر تئوری مثبت است؛ چون نشان می‌دهد هنوز باگ‌هایی که مستقیماً به نشت داده یا تصاحب حساب منجر می‌شوند، ارزش‌گذاری بالایی دارند. اما در عمل، پذیرش این گزارش‌ها همیشه به‌سادگی اعداد جدول نیست. بسیاری از شرکت‌ها زمانی که گزارش به نشت اطلاعات، ضعف کنترل دسترسی، یا سوءاستفاده از پارامترهای منطقی می‌رسد، با سخت‌گیری زیاد برخورد می‌کنند یا Impact را کوچک جلوه می‌دهند.

نکته مهم این است که در سایت‌های بین‌المللی، این نوع باگ‌ها تنها به‌خاطر خود آسیب‌پذیری ارزش ندارند؛ بلکه به‌خاطر اثر واقعی، مقیاس داده، و تعهد حقوقی شرکت باارزش می‌شوند. مثلاً در خارج، PII / Access Control یا Account Takeover می‌تواند بسیار فراتر از مبالغ جدول ایران قیمت‌گذاری شود، چون شرکت‌ها تحت فشار قوانین حفاظت داده هستند. اما در ایران، چون غالباً سازمان ناظری که به‌طور جدی از حقوق مردم دفاع کند وجود ندارد، نشت اطلاعات بسیاری از شرکت‌ها به یک «ریسک قابل مدیریت» تبدیل می‌شود، نه یک بحران حقوقی. همین باعث می‌شود برخی گزارش‌ها، مخصوصاً گزارش‌هایی که به افشای داده کاربران مربوط‌اند، با وجود اهمیت بالا، کم‌اهمیت یا حتی رد شوند.

در جدول تو، باگ‌هایی مثل XSS - Stored با شرط پیاده‌سازی سناریوی موفق تا ۶۰٬۰۰۰٬۰۰۰ تومان، Bypass Authentication تا ۵۵٬۰۰۰٬۰۰۰ تومان، Race Condition تا ۴۰٬۰۰۰٬۰۰۰ تومان، و حتی Open Redirect (GET) تا ۲۰٬۰۰۰٬۰۰۰ تومان دیده می‌شوند. این چیدمان نشان می‌دهد که ارزش باگ‌بانتی در ایران بیش از هر چیز به قابلیت بهره‌برداری وابسته شده است. یعنی اگر هانتر بتواند فقط یک ضعف نظری را نشان دهد، احتمالاً پول زیادی دریافت نمی‌کند؛ اما اگر همان ضعف را به یک PoC واقعی و قابل تکرار تبدیل کند، شانس پرداخت بالا می‌رود.

در مقایسه با برنامه‌های بین‌المللی، این جدول هم مزیت دارد و هم محدودیت. مزیتش این است که برای باگ‌های جدی، رقم‌های قابل‌توجهی تعیین شده و این می‌تواند هانتر حرفه‌ای را جذب کند. محدودیتش اما این است که هنوز در بسیاری از شرکت‌ها، فرهنگ امنیت مبتنی بر جریمه‌پذیری و مسئولیت حقوقی جا نیفتاده است. بنابراین ارزش واقعی باگ‌بانتی در ایران فقط در ارقام جدول خلاصه نمی‌شود؛ بلکه در این است که آیا شرکت واقعاً گزارش را می‌پذیرد، آیا Impact را درست می‌فهمد، و آیا حاضر است برای حفظ امنیت کاربران، هزینه‌ی واقعی پرداخت کند یا نه.

در نهایت، این جدول نشان می‌دهد که باگ‌بانتی در ایران به سمت بلوغ حرکت کرده، اما هنوز فاصله‌ی زیادی با مدل‌های بین‌المللی دارد. تا زمانی که حفاظت از داده، پاسخ‌گویی سازمانی، و اجرای جدی گزارش‌های امنیتی به یک الزام تبدیل نشود، حتی اعداد بزرگ جدول هم همیشه به معنی ارزش واقعی امنیت نخواهند بود.