"HackerOne" เมื่อแฮกเกอร์มีจรรยาบรรณ

รู้จักกับ "HackerOne" สตาร์ทอัพในสหรัฐที่คอยตามล่าหาช่องโหว่ในระบบอินเทอร์เน็ต

“ผู้รักษากฎหมายบางคนอาจละเมิดกฎหมายได้ฉันใด แฮกเกอร์บางคนก็ไม่ใช่อาชญากรฉันนั้น”

คำพูดนี้อาจฟังดูเกินจริงไปบ้าง แต่ก็มีส่วนถูก เพราะในโลกของนักเจาะระบบออนไลน์ยังมีคนกลุ่มหนึ่งที่ถูกเรียกว่า good-guy hackers หรือ white hat hacker ซึ่งเป็นแฮกเกอร์ที่ทุ่มเทแรงกายแรงใจต่อสู้กับอาชญากรสายไอที และอุทิศตัวเองทำงานเพื่อสังคม

เช่น แลร์รี่ วอลล์ ผู้สร้างโปรแกรมภาษา PERL โดนัลด์ คนุธ นักปราชญ์อาวุโสด้านไอที ระดับนี้มักทำงานเพื่อประโยชน์ของมนุษยชาติเป็นหลัก แต่ก็มีอีกนับหมื่นนับแสนรายที่ทำงานเพื่อรับค่าตอบแทนอย่างถูกกฎหมายเช่นกัน

คำถามก็คือ นักแฮกสายการกุศลที่มีสังกัดชัดเจน เขาทำงานกันอย่างไร?

คนกลุ่มนี้มักทำงานในสังกัดชัดเจน และมี “กองบัญชาการ” ในบริษัทที่ถูกต้องตามกฎหมาย บริษัทเองก็ทราบและจ้างคนเหล่านี้เอาไว้เพื่อใช้ทดสอบความแข็งแกร่งของระบบ เช่น บริษัท CSC มีแฮกเกอร์สายขาวถึง 40 คน บางบริษัทมุ่งจ้างแฮกเกอร์เพื่อตามล่าบั๊กในระบบแล้วจ่ายเป็นค่าหัว หรือเรียกว่า bug bounty ทำกันจริงจังถึงขนาดมีเครือข่ายใหญ่โต และมีค่าหัวล่าบั๊กเป็นล้านๆ

หนึ่งในบริษัทที่รู้จักใช้แฮกเกอร์ในมุมกลับแบบนี้ เช่น HackerOne ซึ่งมีสำนักงานอยู่ที่เมืองซานฟรานซิสโก รัฐแคลิฟอร์เนีย ประเทศสหรัฐ

แฮกเกอร์วัน (HackerOne) เป็นหนึ่งในสตาร์ทอัพที่น่าจับตามองในปีนี้ แม้จะก่อตั้งมาตั้งแต่ปี 2012 แล้วก็ตาม โดย โรเบิร์ท แอบมา และ มิเคียล พรินส์ 2 แฮกเกอร์ชาวดัตช์ ร่วมกับ เมอรีน เทอร์เฮกเกน กับ อเล็กซ์ ไรซ์

โดยในตอนแรก แอบมา และ พรินส์ พบว่าบริษัทใหญ่ๆ ต่างก็มีช่องโหว่ในระบบด้วยกันทั้งสิ้น ทั้งคู่จึงติดต่อบริษัทรักษาความปลอดภัยออนไลน์ และติดต่อบริษัทไอทีใหญ่ๆ แต่ปรากฏว่าไม่ได้รับความสนใจ ยกเว้นแค่ เชอริล แซนด์เบิร์ก แห่งเฟซบุ๊คเท่านั้นที่ยอมรับฟัง และเตือนไปยังหน่วยงานด้านความปลอดภัยของบริษัทให้ทำการตรวจสอบช่องโหว่

หลังจากนั้น หนุ่มๆ จึงร่วมกันก่อตั้ง “แฮกเกอร์วัน” ขึ้นมาให้เป็นตัวเป็นตน และนับตั้งแต่ปี 2013 ก็ได้รับเงินทุนสนับสนุนจากทั้งเฟซบุ๊คและไมโครซอฟท์ เพื่อริเริ่มโครงการ “ค่าหัวตามล่าบั๊กในอินเทอร์เน็ต” (Internet Bug Bounty) หลังจากผ่านไป 2 ปี แฮกเกอร์วันสามารถตรวจสอบพบช่องโหว่ในระบบถึง 10,000 หน่วย และจ่ายเงินค่าหัวให้กับแฮกเกอร์ที่ร่วมโครงการนี้ไปแล้ว 1 ล้านเหรียญสหรัฐ

จะเห็นได้ว่าแฮกเกอร์ก็สามารถใช้ความสามารถให้เป็นประโยชน์ได้ แถมยังสามารถหาเงินเป็นล่ำเป็นสันโดยไม่ต้องถูกตั้งข้อหาหรือเป็นบุคคลนอกกฎหมาย

หลังจากโครงการแรกไปได้สวย พวกเขาจึงริเริ่มโครงการใหม่ๆ ต่อมาและพัฒนาโมเดลในการจัดการกับช่องโหว่ในระบบ แน่นอนว่าจากเดิมที่แทบไม่มีบริษัทใหญ่ๆ รายไหนสนใจ ตอนนี้พวกเขามีลูกค้ามากมายหลายระดับชั้น ตั้งแต่รายใหญ่อย่างทวิตเตอร์ ยาฮู ลิงเค็ดอิน หรือสแนปแชท ไปจนถึงบริษัทชั้นนำนอกสายไอที เช่น อูเบอร์ เจเนอรัลมอเตอร์ส ไปจนถึงลุฟต์ฮันซา

จากตัวเลขเมื่อเดือน เม.ย.ปีที่แล้ว พบว่าแฮกเกอร์วันมีลูกค้าเพิ่มขึ้นถึง 2540%

แต่ไม่ต้องห่วงเรื่องเงิน เพราะพวกเขาสามารถระดมทุนในซีรีส์ต่างๆ ได้อย่างเป็นกอบเป็นกำ เช่น ในการระดมทุนซีรีส์เอ ได้เงินไป 9 ล้านเหรียญสหรัฐ จนกระทั่งซีรีส์ซีได้มาถึง 40 ล้านเหรียญสหรัฐ และในช่วง 5 ปีที่ผ่านมาพวกเขาจ่ายเงินให้กับแฮกเกอร์ไปรวม 14 ล้านเหรียญสหรัฐ

ถามว่าไปได้สวยไหม? ก็ต้องดูที่ตัวเลขลูกค้าและรายได้ที่เข้ามา ที่สำคัญก็คือในตอนนี้พวกเขามีแฮกเกอร์สายขาวที่ทำงานด้วยถึง 100,000 คน นอกจากนี้ เมื่อปี 2016 กระทรวงกลาโหมสหรัฐยังใช้แพลตฟอร์มของแฮกเกอร์วัน เพื่อจัดโครงการ Hack the Pentagon โดยให้เวลาแฮกเกอร์ 24 วันช่วยกันเจาะระบบของเพนตากอน ปราฏว่าเจอช่องโหว่ถึง 138 หน่วย นับว่าแฮกเกอร์วันมีคุณูปการไปถึงระดับรัฐบาลเลยทีเดียว

เรียกว่าเป็นสตาร์ทอัพที่ทรงพลังไม่น้อย

ภาพ - HackerOne

ที่มา www.m2fnews.com