İki Türk Yazılımcı, Apple’ın İki Açığını Buldu: Verilen Ödülleri de Kabul Ettiler
Teknoloji şirketleri, milyonlarca satır koddan oluşan hizmetlerindeki açıkları hızlı bir şekilde gidermek için ödüllü “bug bounty” ya da Türkçesi ile “hata avı” programları düzenler. İşin siber güvenlik ya da sistem açıkları konusuna meraklı yazılımcılar ise buldukları açıkları dev şirketlere bildirirler. Son zamanlarda bug bounty konusunda Türkiye’deki yazılımcılar da önemli işler başarıyor.
Çok değil, daha geçtiğimiz Mayıs ayında Apple’ın bir açığını bulup süreç sonunda 7.500 dolar ile ödüllendiren Rıza Sabuncu, bundan yaklaşık 1 ay önce Apple’ın bir açığını daha buldu. Kendisine ulaştığımızda söz konusu açığın “Apple’ın adres formatlama configlerinin (ayar dosyalarının), geliştirme için gerekli olan ve kullanıcı adı ile parolaların saklandığı bir bulut servisi üzerinde” olduğunu belirtti.
Ardından 15 gün boyunca Apple’ın binlerce subdomain (alt alan adına) adresine toplamda milyarlarca HTTP isteği gönderip test yaptı. Durumu Apple’a detaylı şekilde raporlayan Rıza, açığın yaklaşık 3 saat içerisinde giderildiğini belirtti. Normal şartlarda Apple’ın bir raporu gözden geçirmesi, keşfeden kişiye ulaşıp gerekirse birlikte çalışması ve ödülü açıklaması aylar sürüyor, ancak Rıza’nın keşfettiği bu açıkta tüm süreç 1 ay sürdü. Bu da aslında bulduğu açığın Apple için ne kadar kritik olduğunu gösteriyor.
Rıza’nın bir diğer ödül avcısı arkadaşı, 18 yaşındaki Ertuğrul ise Apple’ın iTunes servisinin bir alan adında açık buldu. Açığı 3 Haziran tarihinde yaklaşık 1 saat içerisinde keşfettiğini ve sonucunda AppleID’lerinin bile etkilenebileceğini belirten Ertuğrul, ardından 1,5 saat içerisinde videolu kanıtlar ile detayları Apple’a raporladı. Apple, kullanıcıların etkilenmemesi için ilk 24 saat içinde açığı kısmen giderdi, ardından düzenli olarak yapılan güncellemeler ile sorun 13 Ağustos’ta tamamen ortadan kaldırıldı.
Her iki yazılımcı da verilen ödülleri kabul etti: