Bir ödül avcısı hacker yalnızca bulduğu güvenlik açıklarını bildirerek büyük bir servet elde etti. Büyük şirketlere bulduğu güvenlik zafiyetlerini ileterek para kazanan güvenlik araştırmacısı, 2020 yılında büyük şirketlerin güvenlik seviyesini yüksek tutmak için kullandığı “hata ödül programı” sayesinde çok büyük miktarda para kazandı.
Güvenlik Açığı Bildiren Ödül Avcısı Ne Kadar Para Kazandı?
Romanya’da yaşayan beyaz şapkalı bir hacker, güvenlik hataları bildirerek para kazanmayı düşünenleri hareket geçirecek kadar yüksek miktarda para kazandı. HackerOne, beyaz şapkalı hacker tarafından ödül aramak için kullanılan bir platformdu. Cosmine Lordache adlı bu hacker, 12 ay önce 468 hata bildirerek hata bildirerek milyon dolar kazanan kişilerin listesinde yedinci sırada yer aldı. Hata ödülü arama platformu HackerOne, “inhibitor181” kullanıcı adına sahip hacker Lordache’nin kazancının 2 milyon dolara ulaştığını duyurdu.
Şirket, 334 gün önce Lordache’nin güvenlik açığı bildirerek kazancı 1 milyon dolara ulaşan 7. hacker olduğunu duyurmuştu. Şirket, birkaç gün önce paylaşmış olduğu tweetle beyaz şapkalı hackerın kazancı 2 milyon dolara ulaşan ilk hacker olduğunu duyurdu.
Hata Ödül Programı Nedir?
Daha önce web sitelerinde veya uygulamaları kullanırken hiç beklemediğiniz bir anda ufak tefek hata ve benzeri aksaklıklardan ötürü uygulamanın ve web sitesinin yanıt vermemesi durumu ile karşılaştınız mı? Bu hemen hemen her internet kullanıcısının internete bağlı olduğu süre içerisinde en az bir kere başına gelmiştir. Uygulamanın veya web sitenin normal bir şekilde çalışmaması bazen sunucu tarafında yaşanan sorunlar bazen kodlama kısmında yaşanan problemlerden kaynaklanabiliyor ancak bazı zamanlar oluyor ki geliştiricilerin veya sunucunun bu noktada hiçbir rolü olmayabiliyor.
Web sitelerinin ya da uygulamaların çalışmaması bazen içerisinde bulunan güvenlik zafiyetinden kaynaklanabiliyor. Geliştirici ekibi söz konusu güvenlik açığının veya açıklarının farkında olmadığında kötü niyetli bilgisayar korsanları tarafından suistimal edilebiliyor. Büyük şirketler de bu nedenle web sitesinin veya uygulamanın herhangi bir noktasında kritik seviye olarak nitelendirilebilecek bir hata keşfedip bunu bildiren kişilere “hata ödül programı” kapsamında sorunun ciddiyetine bağlı olarak ödeme yapıyor.
Hangi Şirketler Güvenlik Açığı Başına Ödeme Yapıyor?
Kullanıcılara güvenlik açığı başına ödeme yapan şirketler içerisinde Yahoo, Intel, Snap ve Facebook gibi büyük şirketler yer alıyor. Facebook gibi bir sosyal medya şirketi olan TikTok da geçtiğimiz haftalarda uygulama içinde yer alan güvenlik açıklarını bildiren kişilere güvenlik açığının ciddiyet oranına bağlı olarak ödeme yapacağı programı duyurmuştu.
YORUMLAR