Bulut iletişim firması Zoom, 2021’de, şirket platformunda bağımsız güvenlik açığı araştırmalarını desteklemek için programlarını hızlandırırken, önceki yılın dört katı olan 1.8 milyon dolardan fazla hata ödülü ödedi.
Zoom’un baş güvenlik mühendisi Roy Davis, şirketin yıl boyunca yaklaşık %5’i kritik sorunlar olan toplam 401 güvenlik açığı bulan 92 araştırmacıyı ödülle ödüllendirdiğini söylüyor. Şirket, araştırmacılara ve hata raporlarına daha duyarlı olmaya ve özel, yalnızca davetli programını genişletmek için herkese açık bir Güvenlik Açığı Açıklama Programı (VDP) oluşturmaya odaklanarak, güvenlik açığı açıklama sürecini kolaylaştırmak için önemli değişiklikler yaptı.
Davis, bu düzeyde araştırmayı çekmek için daha yüksek ödüller ve araştırmacılarla çalışma yeteneği gerektirdiğini söylüyor.
“Şirketler, araştırmacıların zaman ve dikkati için her zaman rekabet halindedir” diyor. “Bu yılki hedeflerimizden biri, canlı bilgisayar korsanlığı etkinlikleri ve güvenlik konferanslarına katılım yoluyla araştırmacılarla olan ilişkimizi artırmak.”
Böcek ödül programları son birkaç yılda yükselişe geçti. Geçen yıl, kitle kaynaklı güvenlik açığı araştırma şirketi Bugcrowd, hata ödül programları aracılığıyla açıklanan güvenlik sorunlarının yarı yarıya arttığını görürken, program yönetim şirketi HackerOne programlarda %34 ve bildirilen güvenlik açıklarında %21 artış gördü. Bu firmalardan raporlar.
Diğer endüstriler de hata ödül programlarına daha fazla kaynak aktarıyor. HackerOne’ın yıllık Hacker-Powered Security Report’a göre, tıp teknolojisi sektöründeki ve havacılık ve uzay sektöründeki programların her biri 2021’de %150 arttı. Zoom’un ödül programı üç yıldır var ve 800 güvenlik araştırmacısını içeriyor olsa da, ödüllerin %75’i yalnızca geçen yıl ödendi.
“Zoom, çözümlerimizi ve altyapımızı her gün test ederken, yalnızca belirli kullanım durumları ve koşulları altında tespit edilebilen uç vaka güvenlik açıklarını belirlemeye yardımcı olmak için etik hacker topluluğuna dokunarak bu testi güçlendirmenin önemli olduğunu biliyoruz.” şirket 5 Nisan’da yayınlanan bir blog yazısında belirtti.
Zoom’un ödül programı da başka bir eğilimi yansıtıyor: Şirketler en kritik sorunlar için önemli ölçüde daha fazla ödüyor. Sektör bir bütün olarak kritik bir hata için ortalama ödül fiyatında %20’lik bir artış görürken, Zoom güvenlik sorununun ciddiyetine bağlı olarak 250 ila 50.000 dolar arasında bir ödeme yapıyor. Şirket şu anda güvenlik açığı başına yaklaşık 4.500 dolarlık bir ödül alıyor.
Diğer şirketler de güvenlik araştırmacılarını çekmek için daha fazla para ödemeye çalışıyor. Mart ayında, erişim yönetimi sağlayıcısı 1Password, güvenlik araştırmacılarını daha fazla incelemeye teşvik etmenin bir yolu olarak en yüksek ödülünü ikiye katlayarak 1 milyon dolara çıkardı.
1Password CEO’su Jeff Shiner o sırada yaptığı açıklamada, “Hata ödülümüzü 1 milyon dolara çıkarmak, sistemlerimizin mümkün olduğunca güvenli olduğundan emin olmak için başka bir dış uzmanlık katmanını çekecek.” Dedi.
En İyi 10 Araştırmacı Olmak Güzeldir
Zoom’un böcek ödül programı üç yılda 2.4 milyon dolar ödemiş olsa da, en iyi 10 araştırmacı tipik olarak potun yarısından fazlası ile ödüllendiriliyor. Örneğin, 2021’de şirket araştırmacı başına ortalama 19.500 dolar ödedi, ancak ilk 10 araştırmacı yıl için ödemelerin yaklaşık %60’ını aldı.
Davis, “Araştırmacıların güvenlik açıklarını bulmak için tam olarak ne kadar zaman harcadıklarını ölçmek zor, ancak elbette bazı hataları bulmak diğerlerinden daha zor olacak” diyor. “Bunu akılda tutarak, araştırmacıları ürünlerimizle daha fazla zaman geçirmeye çekmek ve motive etmek için geçen yıl ödemelerimizi artırdık.”
Zoom, programını genişletmeye çalışırken birkaç ilkeye odaklandı. Şirket, güvenlik açığı araştırması kapsamında nelerin olduğu ve araştırmacıları koruyan “güvenli liman” terimleri konusunda net politikalara sahip olmayı hedefliyor. Zoom, araştırmacılar için yanıt ve ödeme sürelerini en aza indirirken, araştırmacılara araştırmak için daha fazla potansiyel kod sunmak için geçerli saldırı yüzeyini zorlamayı hedefliyor.
Davis, “Diğer yazılım şirketleri için dersler açısından, her zaman bir hata ödül programı başlatmanızı tavsiye ederim” diyor. “Güvenlik araştırmacısı topluluğunun gücünden yararlandığınızda herkes yararlanır.”
