Siber güvenlik zafiyetlerini bulan ve bu açıkların ayrıntılarını Google’a bildiren kişiler, 2022 yılında şirketin Zafiyet Ödül Programları (VRP) kapsamında rekor bir yıl yaşadı.
Toplamda 2 bin 900’den fazla güvenlik araştırmacısı güvenlik açıklarını bildirerek Google’dan ödül kazanırken Google, bugüne kadarki en yüksek ödeme miktarını gerçekleştirdi.
GOOGLE, MICROSOFT’LA REKABET EDİYOR
Google’ın 2022’deki VRP bug bounty programı, 12 milyon doların üzerinde ödeme gerçekleştirerek rekor bir seviyeye ulaştı. Bu, önceki yıllarda ödenen 8,7 milyon dolarlık zafiyet ödüllerini geride bıraktı. Microsoft’un ödeme miktarıyla rekabet etmek amacıyla, Google ödüllendirme programlarını genişletti ve yeni programlar ekledi.
YUVAL AVRAHAMİ 133 BİN DOLAR KAZANDI
Google’dan en çok ödül kazanan kişi Palo Alto Networks Unit 42 analisti Yuval Avrahami oldu.
Avrahami’nin, Google Kubernetes Engine (GKE) Autopilot’ta bulduğu zafiyetler ve saldırı yöntemleri sayesinde bir saldırganın sistemden kaçması, yetkilendirme düzeyini yükseltmesi ve erişimi korumak için arka kapılar oluşturması mümkün hâle geliyordu.
Google Bug Bounty’de kesenin ağzını açtı: Zafiyeti bulana 31 bin dolar ödül!
Google ise Avrahami’yi en büyük ödül olan 133.337 dolarla ödüllendirdi. Sivanesh Ashok ve Sreeram KL, Google Compute Engine’deki SSH anahtar enjeksiyonu ve Google Cloud Workstations’da yetkilendirme atlatma üzerine yaptıkları araştırmalarla 73.331 dolarlık ödül kazandı.
Kubernetes’teki ayrıcalık yükseltme vektörleri ve Azure AKS, Amazon EKS ve Google GKE gibi Kubernetes barındırma sağlayıcılarında bulunan zafiyetler nedeniyle bazı araştırmacılara da 17.311 dolarlık ödül verildi.
BUG BOUNTY PROGRAMLARI ŞİRKETLER İÇİN ÖNEMLİ BİR ROL OYNUYOR
Google ve diğer şirketlerin bu ödüllendirme programları, şirketlerin güvenlik açıklarını hızlı bir şekilde tespit etme ve düzeltme sürecini destekliyor. Bunun yanı sıra bu programlar dijital güvenlik alanında önemli bir rol oynuyor.
