Birçok teknoloji şirketi, ürünlerindeki güvenlik açıklarını tespit eden “etik hacker”lara ödül veren bug bounty (hata ödül) programları düzenliyor. Bu sistem, güvenlik araştırmacılarını hataları kötü niyetli kişilere değil, doğrudan şirkete bildirmeye teşvik ediyor.
Microsoft, Google, Meta ve Apple gibi devler bu alanda uzun süredir aktif. Ancak Apple, yaptığı yeni güncellemeyle bu yarışta çıtayı oldukça yükseltti.
En yüksek ödül 5 milyon dolara çıkıyor
Apple, Apple Security Bounty programında önemli bir değişiklik yaptığını duyurdu. Şirket, bugüne kadarki en yüksek ödül miktarını 2 milyon dolara çıkardı.
Ancak ödül burada bitmiyor — eğer bu saldırı Lockdown Mode gibi güvenlik önlemlerini de aşmayı başarırsa, toplam ödül 5 milyon dolara kadar ulaşabiliyor.
Buna ek olarak, iCloud sistemine geniş çaplı izinsiz erişim sağlayabilen bir açık tespit eden araştırmacılara da 1 milyon dolar verilecek. Apple’ın açıklamasına göre bu tür bir ihlal bugüne kadar hiç yaşanmadı.
Yeni kategoriler ve “hızlı ödeme” etiketleri
Apple, yalnızca ödül miktarlarını artırmakla kalmadı; aynı zamanda daha fazla açık türü için yeni ödül kategorileri ekledi.
Bununla birlikte, “target flags” adı verilen yeni bir sistem sayesinde araştırmacıların ödeme süreci hızlanacak. Bu etiketler, belirli kriterlerin net bir şekilde karşılanması durumunda değerlendirme sürecini otomatik olarak hızlandıracak.
| Saldırı Türü | Mevcut En Yüksek Ödül | Yeni En Yüksek Ödül |
|---|---|---|
| 1 milyon $ | 2 milyon $ | |
| 250 bin $ | 1 milyon $ | |
| Kablosuz yakınlık saldırısı (fiziksel yakınlık gerektiren saldırı) | 250 bin $ | 1 milyon $ |
| Fiziksel cihaz erişimi (kilitli cihaza fiziksel erişim gerektiren saldırı) | 250 bin $ | 500 bin $ |
| Uygulama alanından çıkış (sandbox bypass) | 150 bin $ | 500 bin $ |
2020’den bu yana 35 milyon dolar ödendi
Apple, 2020’de başlattığı bu program kapsamında bugüne kadar 800’den fazla güvenlik araştırmacısına toplam 35 milyon doların üzerinde ödeme yaptı.
Şirket, daha yüksek ödül miktarları ve yeni kategoriler sayesinde daha fazla “beyaz şapkalı” hacker’ı teşvik etmeyi, böylece güvenlik açıklarını daha hızlı bir şekilde tespit edip kapatmayı hedefliyor.
Google, yapay zeka sistemlerindeki açıkları bulanlara para ödülü verecek
