Dijital dünyamızı daha güvenli bir yer haline getiren güvenlik araştırmacılarına, yani 'beyaz şapkalı hackerlara' çok şey borçluyuz. Google Chrome'daki güvenlik açıklarını ortaya çıkarmaktan, popüler uygulamalardaki veri sızıntılarını ifşa etmeye kadar, bu teknoloji kahramanları bizleri sayısız siber tehditten koruyor. Peki, milyonlarca dolarlık şirketleri büyük bir krizden kurtaran bu uzmanların karşılığı ne olmalı?
Yakın zamanda Renwa isimli bir güvenlik araştırmacısı, Apple'ın Safari tarayıcısı ve Sequoia işletim sistemini etkileyen çok sayıda yüksek önem derecesine sahip güvenlik açığı keşfetti. Bu açıklar arasında, kötü niyetli kişilerin Evrensel Siteler Arası Komut Dosyası Çalıştırma (UXSS) saldırısıyla kullanıcı verilerine erişmesine olanak tanıyabilecek kritik bir zafiyet de bulunuyordu.
Bu zafiyet o kadar ciddiydi ki, CVSS (Ortak Güvenlik Açığı Puanlama Sistemi) ölçeğinde 10 üzerinden 9.8 (Kritik) gibi endişe verici bir puan aldı. Ancak Renwa, bu kritik buluşunu Apple'a bildirdiğinde karşılığında sadece 1.000 dolarlık bir ödül aldığını açıkladı.
"Apple bu hata için bana sadece 1.000 dolar ödedi. Sanırım bu 'hata ödülü avcılığı' işini bırakıp gerçek bir iş bulmalıyım."
- Renwa, X (Twitter) üzerinden yaptığı paylaşımda
Ödül Miktarı Neden Tartışma Yarattı?
Apple, yayınladığı Safari 18.4 güvenlik güncellemesinde Renwa'nın bulgularına yer vererek hakkını teslim etse de, ödenen 1.000 dolarlık ödül, teknoloji camiasında büyük bir hayal kırıklığı yarattı. Zira bu miktar, ABD'deki birçok şehirde bir aylık kirayı dahi karşılamaktan uzak. Daha da önemlisi, bu rakam teknoloji devlerinin benzer durumlardaki ödeme politikalarıyla tam bir tezat oluşturuyor.
Örneğin, Apple'ın kendisi, Özel Bulut Bilişim (Private Cloud Compute) sunucularındaki belirli zafiyetleri bulanlara 1 milyon dolara varan ödüller vaat ediyor. Bu durum, şirketin genel olarak cimri olmadığını, ancak belirli hatalara düşük değer biçtiğini gösteriyor. Diğer yandan, rakibi Google, yakın zamanda orta ve düşük seviyeli Chrome açıkları için araştırmacılara 2.000 doları aşan ödüller verdi. Hal böyleyken, 9.8 gibi kritik bir puana sahip bir açığın Apple tarafından neden bu kadar değersiz görüldüğü merak konusu oldu.
Teknoloji Devlerinin Ödül Karnesi
| Şirket | Ödül Miktarı | Bulunan Açık |
|---|---|---|
| Valve (Steam) | $20,000 | Sınırsız Steam oyun anahtarı üretme zafiyeti |
| Rockstar Games | $10,000 | GTA Online'daki yavaş yükleme sorununu çözen oyuncu |
| Valve (Steam) | $7,500 | Steam Cüzdanı'nda sonsuz bakiye açığı |
| $2,000+ | Orta seviye Chrome güvenlik açıkları |
Güvenlik Uzmanlarının Emeği Değersiz mi?
Renwa'nın yaşadığı bu durum, sektörde tek örnek değil. Haberin orijinalinde bahsedilen Lovense adlı uygulamadaki veri sızıntısını yıllar önce keşfeden bir araştırmacıya sadece 350 dolar ödenmişti. Aynı temel sorunu yıllar sonra bildiren başka bir grup ise toplamda 3.000 dolar almıştı.
Tek bir doğru tahmin edilen şifrenin veya başarılı bir fidye yazılımı saldırısının dev şirketleri iflasın eşiğine getirebildiği günümüzde, dijital kaleleri koruyan bu araştırmacıların emeklerinin karşılığını adil bir şekilde alması, hem şirketlerin hem de milyonlarca kullanıcının güvenliği için hayati önem taşıyor.
