Birçok teknoloji şirketi, eserlerindeki güvenlik açıklarını tespit eden “etik hacker”lara ödül veren bug bounty (hata ödül) programları düzenliyor. Bu sistem, güvenlik araştırmacılarını yanlışları makus niyetli şahıslara değil, direkt şirkete bildirmeye teşvik ediyor.
Microsoft, Google, Meta ve Apple üzere devler bu alanda uzun müddettir etkin. Fakat Apple, yaptığı yeni güncellemeyle bu yarışta çıtayı epeyce yükseltti.
En yüksek ödül 5 milyon dolara çıkıyor
Apple, Apple Security Bounty programında değerli bir değişiklik yaptığını duyurdu. Şirket, bugüne kadarki en yüksek ödül ölçüsünü 2 milyon dolara çıkardı.
Ancak ödül burada bitmiyor — şayet bu saldırı Lockdown Mode üzere güvenlik tedbirlerini de aşmayı başarırsa, toplam ödül 5 milyon dolara kadar ulaşabiliyor.
Buna ek olarak, iCloud sistemine geniş çaplı müsaadesiz erişim sağlayabilen bir açık tespit eden araştırmacılara da 1 milyon dolar verilecek. Apple’ın açıklamasına nazaran bu cins bir ihlal bugüne kadar hiç yaşanmadı.
Yeni kategoriler ve “hızlı ödeme” etiketleri
Apple, sadece ödül ölçülerini artırmakla kalmadı; tıpkı vakitte daha fazla açık tipi için yeni ödül kategorileri ekledi.
Bununla birlikte, “target flags” ismi verilen yeni bir sistem sayesinde araştırmacıların ödeme süreci hızlanacak. Bu etiketler, muhakkak kriterlerin net bir formda karşılanması durumunda kıymetlendirme sürecini otomatik olarak hızlandıracak.
| Saldırı Türü | Mevcut En Yüksek Ödül | Yeni En Yüksek Ödül |
|---|---|---|
| 1 milyon $ | 2 milyon $ | |
| 250 bin $ | 1 milyon $ | |
| Kablosuz yakınlık saldırısı (fiziksel yakınlık gerektiren saldırı) | 250 bin $ | 1 milyon $ |
| Fiziksel aygıt erişimi (kilitli aygıta fizikî erişim gerektiren saldırı) | 250 bin $ | 500 bin $ |
| Uygulama alanından çıkış (sandbox bypass) | 150 bin $ | 500 bin $ |
2020’den bu yana 35 milyon dolar ödendi
Apple, 2020’de başlattığı bu program kapsamında bugüne kadar 800’den fazla güvenlik araştırmacısına toplam 35 milyon doların üzerinde ödeme yaptı.
Şirket, daha yüksek ödül ölçüleri ve yeni kategoriler sayesinde daha fazla “beyaz şapkalı” hacker’ı teşvik etmeyi, böylelikle güvenlik açıklarını daha süratli bir formda tespit edip kapatmayı hedefliyor.
Google, yapay zeka sistemlerindeki açıkları bulanlara para mükafatı verecek
