Bug Bounty Nedir?

Bug Bounty nedir ? Ne için kullanılır ? gibi soruları ile çok karşılaştık ve sizler için bir yazı hazırladık. İyi okumalar dilerim.

Bug Bounty Nedir?

Hata ödül programları, bir kuruluşun ürünlerindeki güvenlik açıklarını tespit etmek ve güvenlik düzeylerini iyileştirmek için bağımsız güvenlik araştırmacılarının katıldığı özel veya açık programlardır. Güvenlik araştırmacıları, program kapsamında tespit ettikleri zafiyetleri/zafiyetleri/sömürüleri (hataları) raporlamak için ücret ve ödül kazanabilirler. Bu programlar genellikle güvenlik açıklarını bildirir, ancak bazen donanım kusurları, işlem sorunları ve benzerlerini içerebilir. Hata ödül programı, davetiye veya herkesin kaydolabileceği ve katılabileceği açık (genel) bir programla yürütülür. Bazı programlar belirli bir zaman diliminde çalışırken, çoğunun bir bitiş tarihi yoktur.

Birçok büyük kuruluş, güvenlik programlarının bir parçası olarak hata ödül programlarını kullanır. AOL, Facebook, Android, Apple, Digital Ocean bunlara örnektir.

Bugcrowd ve HackerOne gibi hata ödül programı sağlayıcıları da vardır. Bu platformlar aracılığıyla şirketler, ürünleri için hata ödül programları açabilir ve bunları güvenlik testi için dünya çapında birçok güvenlik araştırmacısına sunabilir. Açık hata ödül programlarını Bugcrowd ve HackerOne platformlarında görüntüleyebilirsiniz.

Gelin bu programların detaylarından bahsedelim. Şirket, program kapsamında hedeflenen sistemleri veya ürünleri açıkça belirtir. Ayrıca kapsam dışı hedefler ve sistemler belirleyebilirler. Ayrıca programın kurallarını da açıklarlar. Zamanla, bu kapsam bilgisi ve zamanlama kuralları değişebilir. Bu değişiklikleri bug bounty programının bildirim kanalı üzerinden takip etmek gerekiyor. Örneğin, programın sahibi olan şirketin kapsam dışı bir sisteminde veya web sitesinde bir güvenlik açığı tespit edersiniz ve bunu bildirdiğiniz için herhangi bir ödül almazsınız. Bildirimi takip ederseniz, tanımladığınız sistem veya web sitesinin üzerine yazılabilir ve bulduğunuz güvenlik açığını en kısa sürede iletmiş olursunuz. Bu arada ödüllerden bahsetmek gerekiyor. İki farklı kişi aynı hatayı/güvenlik açığını/sömürüyü tespit ederse, ilk gönderen kişi ödülü alacaktır. İkinci gönderen genellikle ödüllendirilmez. Ancak bazen teşvikler için küçük ödüller gönderilir. Bu bağlamda, duyuruya uyulması önemlidir.

Her hata ödül programının ödülleri de değişebilir. Bazı şirketler nakit teşvik sunarken, diğerleri ödül olarak sadece t-shirt, şapka, çanta gibi şirket logolu veya sloganlı promosyon ürünleri (swag) sunabilir. Bazı şirketler Onur Listesi'nde yalnızca güvenlik araştırmacılarının adlarını yayınlar. Bunların birkaçını bir arada üreten firmalar da var.