Siber Güvenlik

Bug Bounty Nedir?

Bug bounty programları organizasyonların ürünlerindeki bozuklukların (bugs) tespiti ve güvenlik seviyelerini arttırmak için bağımsız güvenlik araştırmacılarının katıldığı özel ya da açık programlardır. Güvenlik araştırmacıları tespit ettikleri açıklık/zafiyet/sömürüleri (bugs) bu program kapsamında raporlayarak ücret ve ödüller kazanabilir. Bu programlarda genellikle güvenlik zafiyetleri raporlanır ama bazen donanım kusurları, süreçsel problemler ve benzeri problemleri de içerebilir.

Talha ŞEN |

22.02.2021

Bug bounty programları organizasyonların ürünlerindeki bozuklukların (bugs) tespiti ve güvenlik seviyelerini arttırmak için bağımsız güvenlik araştırmacılarının katıldığı özel ya da açık programlardır. Güvenlik araştırmacıları tespit ettikleri açıklık/zafiyet/sömürüleri (bugs) bu program kapsamında raporlayarak ücret ve ödüller kazanabilir. Bu programlarda genellikle güvenlik zafiyetleri raporlanır ama bazen donanım kusurları, süreçsel problemler ve benzeri problemleri de içerebilir.

 

Bug bounty programları davet ile özelleşmiş(private) ya da herkesin kayıt olup katılabileceği açık (public) programlardır. Bazı programlar belirli zaman çerçevesinde gerçekleştirilirken, çoğunluğunun bitiş tarihi olmaz.

 

Birçok büyük organizasyon güvenlik programlarının bir parçası olarak bug bounty programlarını kullanır. AOL, FacebookAndroid, Apple, Digital Ocean firmaları bunlara birer örnektir. 

 

Bugcrowd ve HackerOne gibi bug bounty programı sağlayıcıları da bulunmaktadır. Bu platformlar üzerinden firmalar kendi ürünleri için bug bounty programları açarak dünya üzerindeki birçok güvenlik araştırmacısının güvenlik testine sunabilmektedir. Bugcrowd ve HackerOne platformlarında açık bulunan bug bounty programlarını görebilirsiniz.

 

Bu programların detayından bahsedecek olursak. Firmalar bu program kapsamında (scope) olan hedef sistem ya da ürünleri açıkça belirtirler. Kapsam dışında olan hedef ve sistemleri de belirtebilirler. Ayrıca programın kurallarını da açıklarlar. Zaman geçtikçe bu kapsam bilgileri ve program kuralları değişebilir. Bu değişiklikleri bug bounty programının bildirim kanallarından takip etmek gerekir. Örnek vermek gerekirse program sahibi firmanın kapsam dışı olan bir sisteminde ya da web sitesinde açık tespit ettiniz ve bunu ilettiğinizde herhangi bir ödül alamayacaksınız. Bildirimleri takip ederseniz açık tespit ettiğiniz sistem ya da web sitesi kapsama dahil olabilir ve bulduğunuz açıklığı ilk siz iletirsiniz. Yeri gelmişken ödüllerden de bahsetmek gerekir. Aynı açıklık/zafiyeti/sömürüyü iki farklı kişi tespit ederse ilk gönderen ödülü alır. İkinci gönderen kişi genellikle ödüllendirilmez. Ama bazen motivasyon amaçlı küçük ödüller gönderilir. Bu açıdan bildirimleri takip etmek önemlidir.

 

Her bug bounty programı için ödüller de farklı olabilmektedir. Bazı firmalar para ödülü verirken bazıları da sadece t-shirt, şapka, çanta gibi üzerinde firma logosu ya da sloganı olan promosyon ürünleri (swag) ödül olarak verebilir. Bazı firmalar da sadece güvenlik araştırmacılarının isimlerini onur listesinde (hall of fame) yayınlamaktadır. Bunların birkaçını bir arada yapan firmalar da bulunmaktadır.