Facebook ana şirketi Meta, Facebook, Messenger, Instagram ve WhatsApp’ın Android ve iOS sürümlerinde yararlanılabilir uzaktan kod yürütme (RCE) güvenlik açıklarını bildiren güvenlik araştırmacılarına 300.000 ABD dolarına kadar ödeme yapacak.
Gerçek miktar, kusuru tetiklemek için “tıklama” olarak ölçülen kullanıcı etkileşimi miktarına bağlı olarak değişecektir. Maksimum ödemeye hak kazanmak için bir güvenlik araştırmacısının, Android’in mevcut veya önceki iki sürümünden veya Apple’ın iOS’unun şu anda desteklenen bir sürümünden herhangi birindeki kusurdan yararlanmak için çalışan bir kavram kanıtı kodu eklemesi gerekir.
Güncellenmiş Ödeme Yönergeleri
Mobil RCE için güncellenen yönergelere ek olarak Meta, bu hafta hesap devralma (ATO) ve iki faktörlü kimlik doğrulama (2FA) güvenlik açıklarını aşmak için yeni ödeme yönergeleri de yayınladı.
Bir 2FA kusuru için maksimum ödeme 20.000 Dolar, bir ATO güvenlik açığı için ise 130.000 Dolardır. Burada da gerçek ödeme, bir saldırganın bir güvenlik açığından yararlanma kolaylığına bağlı olacaktır. Örneğin, istismar edilebilir sıfır tıklamalı bir kimlik doğrulama hatasını bildiren ve gösteren bir araştırmacı, 130.000 $’lık ödeme alabilirken, tek tıklamalı bir ATO 50.000 $’lık bir ödül alacaktır.
Şirket ayrıca Meta Quest Pro ve diğer sanal gerçeklik (VR) teknolojilerinde bildirilen hatalar için yeni ödeme yönergeleri sunarak Meta’yı VR ve karma gerçeklik cihazlarındaki güvenlik açıkları için ödüller belirleyen ilk şirketlerden biri haline getirdi.
Meta’nın mobil RCE hataları için güncellenmiş ödeme yönergeleri ve ATO ve kimlik doğrulama atlama kusurları için yeni ödülleri, şirketin yaklaşık 11 yıllık hata ödül programında yapılan en son değişikliklerdir. Buna göre Meta, şimdiye kadar dünyanın dört bir yanından çevrimiçi platformlarında hata bildiren serbest araştırmacılara yaklaşık 16 milyon dolar ödedi.
Meta’nın böcek ödülü girişimini yöneten güvenlik mühendisi Neta Ören, en son değişikliklerin, şirketin Meta’nın sunduğu hata ödüllerinin ve program kapsamındaki ürünlerin gelişen tehditlerle uyumlu kalmasını sağlama çabasının bir parçası olduğunu söylüyor.
Oren, “Her yıl, toplulukla en iyi şekilde nasıl etkileşim kuracağımız hakkında yeni şeyler öğrenmeye ve programımızı gelişen alanlardaki en etkili alanlardan bazılarını ele alacak şekilde ayarlamaya devam ediyoruz” diyor. “Programımız, 2011’de yalnızca Facebook’un Web sayfasını kapsamaktan, şimdi Instagram, WhatsApp, Oculus, Workplace ve daha fazlasını içeren uygulama ailemizdeki tüm Web ve mobil müşterilerimizi kapsayacak şekilde büyüdü.”
Kitle Kaynaklı Siber Güvenlik
Meta’nın bug-bounty programı, son yıllarda kitle kaynaklı güvenlik açığı avcılığı programları uygulayan diğer yüzlerce şirketinkine benziyor. Birçok güvenlik uzmanı, bu programları, iç güvenlik ekiplerinin gözden kaçırmış olabileceği güvenlik açıklarını bulmanın nispeten uygun maliyetli bir yolu olarak görmektedir. Programlar, etik korsanlara bir web sitesinde veya Web uygulamasında keşfedebilecekleri güvenlik açıklarını bulup bildirmeleri ve çabaları için bir ödül almaları için yapılandırılmış bir yol sağlar.
Bu programların çoğu, bug-bounty programı kapsamında çalışan güvenlik araştırmacılarını araştırmaları için yasal sorumluluktan muaf tutan Güvenli Liman hükümleri içerir. Satıcılar için programlar, birinci sınıf güvenlik araştırmacılarının kendi platformlarında nispeten uygun maliyetli bir şekilde sızma testleri gerçekleştirmelerini sağlamanın bir yolunu sunar. Daha da önemlisi, araştırmacıların bir güvenlik açığını bir düzeltme bulunmadan önce herkese açık olarak ifşa etmek veya daha da kötüsü bir gri piyasa alıcısına satmak yerine doğrudan kendilerine bildirmelerini sağlama konusunda onlara daha iyi bir şans verir.
Yine de bazıları, özellikle kuruluşun güvenlik ekibi bunlara yanıt verecek kadar olgun veya hazır değilse, araştırmacıların gönderebileceği hata raporları hacmi altında bu tür programların çöktüğü konusunda uyarıda bulundu.
Büyük Hacimli Raporlar
Facebook, bug-bounty programını 2011’de başlattığından beri, dünya genelindeki bug avcılarından 170.000’den fazla rapor aldı. Şirket, bu raporların 8.500’den fazlasını geçerli güvenlik açığı açıklamaları olarak belirledi ve bunun için toplam 16 milyon dolar ödül ödedi.
Bu yıl şimdiye kadar Meta, 45 ülkedeki araştırmacılardan yaklaşık 10.000 rapor aldı ve tespit edilen 750 kadar güvenlik açığı için toplam 2 milyon dolardan fazla ödül verdi. Hindistan, Nepal ve Tunus, bu yıl şimdiye kadar ödül verilen ülkeler sıralamasında ilk sırada yer aldı.
Oren, “10 yılı aşkın bir böcek-ödül programına sahip olmanın bir avantajı, bazı araştırmacılarımızın platformumuzda avlanmaya yıllarını ayırması ve ürün ve hizmetlerimize son derece aşina hale gelmesidir” diyor. “Bu araştırmacılar, yüzey seviyesindeki sorunların ötesine geçebilir ve daha geniş topluluğun aramayı bilmeyeceği etkili ancak niş hataları belirlememize yardımcı olabilir.”
Etkili ama niş bir örnek, uzun süredir bir güvenlik araştırmacısının bu yıl Facebook’un telefon numarasına dayalı hesap kurtarma akışında bildirdiği bir hesabın ele geçirilmesi ve 2FA baypas zinciri sorunuydu; güvenlik açığı, bir saldırganın parolaları sıfırlamasına ve 2FA tarafından korunmayan hesapları ele geçirmesine izin verebilirdi. Meta, keşif için 163.000 $ ödül verdi.