Teknoloji şirketleri, milyonlarca satır koddan oluşan hizmetlerindeki açıkları süratli bir formda gidermek için ödüllü “bug bounty” ya da Türkçesi ile “hata avı” programları düzenler. İşin siber güvenlik ya da sistem açıkları konusuna meraklı yazılımcılar ise buldukları açıkları dev şirketlere bildirirler. Son vakitlerde bug bounty konusunda Türkiye’deki yazılımcılar da kıymetli işler başarıyor.
Mayıs ayında Apple’ın bir açığını bulup süreç sonunda 7 bin 500 dolar ile ödüllendiren İstek Sabuncu, bundan yaklaşık 1 ay evvel Apple’ın bir açığını daha buldu. Sabuncu kelam konusu açığın “Apple’ın adres formatlama configlerinin (ayar dosyalarının), geliştirme için gerekli olan ve kullanıcı ismi ile parolaların saklandığı bir bulut servisi üzerinde” olduğunu belirtti.
Akabinde 15 gün boyunca Apple’ın binlerce subdomain (alt alan adına) adresine toplamda milyarlarca HTTP isteği gönderip test yaptı. Durumu Apple’a ayrıntılı biçimde raporlayan Sabuncu, açığın yaklaşık 3 saat içerisinde giderildiğini belirtti. Olağan kaidelerde Apple’ın bir raporu gözden geçirmesi, keşfeden şahsa ulaşıp gerekirse birlikte çalışması ve mükafatı açıklaması aylar sürüyor, fakat Sabuncu’nun keşfettiği bu açıkta tüm süreç 1 ay sürdü. Bu da aslında bulduğu açığın Apple için ne kadar kritik olduğunu gösteriyor.
BİRİNCİ 24 SAAT İÇİNDE AÇIĞI KISMEN GİDERDİ
Rıza’nın bir öbür ödül avcısı arkadaşı, 18 yaşındaki Ertuğrul ise Apple’ın iTunes servisinin bir alan isminde açık buldu. Açığı 3 Haziran tarihinde yaklaşık 1 saat içerisinde keşfettiğini ve sonucunda AppleID’lerinin bile etkilenebileceğini belirten Ertuğrul, akabinde 1,5 saat içerisinde görüntülü ispatlar ile ayrıntıları Apple’a raporladı. Apple, kullanıcıların etkilenmemesi için birinci 24 saat içinde açığı kısmen giderdi, akabinde sistemli olarak yapılan güncellemeler ile sorun 13 Ağustos’ta büsbütün ortadan kaldırıldı.
Mayıs ayında 3 aylık bir sürecin akabinde Apple’dan 7 bin 500 dolar ödül kazanan İstek Sabuncu, keşfettiği son açık sayesinde 2 bin 500 ABD doları ile ödüllendirildi. Ertuğrul ise 5 bin ABD doları ile ödüllendirildi. Her iki yazılımcı da verilen mükafatı kabul etti.
2020 boyunca Apple’ı tabiri caizse haraca bağlayan Rıza’ya ve Apple’ın açığını aramaya karar verdiği birinci gün, birinci testlerinden birisinde sonuca ulaşan Ertuğrul’a toplumsal medyadan tebrik iletileri yağdı.
Kaynak:Webtekno
Cumhuriyet
