Haberler
GitHub Beyaz Şapkalı Hacker’ların Yüzünü Güldürüyor
GitHub, Bug Bounty programı ile beyaz şapkalı korsanları memnun etmeye devam ediyor…
Web tabanlı popüler depolama sistemi GitHub’ın beyaz şapkalı korsanlara yönelik ödül sistemi (bug bounty) ile geride kalan sene içerisinde yarım milyondan dolardan fazla ödeme tanık gerçekleştirildiği duyuruldu. GitHub, Şubat 2020-Şubat 2021 arasında yapılan güvenlik bildirimlerinin tüm zamanların en yüksek seviyesine çıktığını paylaşırken kamu ve özel programlarına bu süre zarfında toplam 1.066 zafiyetin bildirildiği açıklandı (özel program beta ve ön yayımı yapılan ürünleri kapsıyor). Bir yılı aşkın sürede, 203 zafiyet için toplamda 524,250 dolar ödül dağıtıldı. GitHub’ın 2016’da hayata geçirdiği “HackerOne” programı kapsamında dağıtılan toplam ödül miktarı ise 1.552.004 dolara ulaştı.
Zafiyet başına 30.000 dolara kadar ödeme
GitHub API (uygulama program arayüzü), Actions, Pages ve Gist gibi GitHub’ın sahip olduğu alan adları içeren ödül programı SQL saldırılarından hesap bilgilerine sızma yöntemlerine kadar çeşitli zafiyetlerin tespit edilmesini amaçlıyor. Zafiyet başına ödenen ücret miktarı 30.000 dolara kadar çıkabiliyor.
GitHub, bug bounty programı kapsamında ‘Safe Harbor prensibi” sunuyor. Söz konusu prensip, güvenlik araştırmacılarının zafiyetleri tespit etmeye çalışırken yapabileceği yasal ihlallere karşı korunmalarını mümkün kılıyor.
GitHub, son bir sene içinde tespit edilen zafiyetler arasında en çok “beğendiklerinin” üyelik sistemine müdahale edebilen saldırı olduğunu kaydediyor. Bu noktada GitHub üzerinden kullanıcıları oltalama amaçlı sayfalara yönlendirmeye izin veren açığı tespit eden beyaz şapkalı hacker’a 10.000 dolar ödül verilmişti.
20202de CVE Number Authority (CNA) konumuna da yükselen GitHub, CVE zafiyetlerini GitHub kurum sunucusunda yayınlamaya başladı.
Bug bounty programları, bağımsız güvenlik araştırmacılarından güvenlik zafiyetlerinin tespit edilmesi adına fazlasıyla faydalanılmasını esas alıyor. Bu programlar, şirketlerin zafiyetlerini tespit etmesini kolaylaştırdığı gibi güvenlik araştırmacıları ile şirketler arasında etkin bir iletişim sağlıyor.
