Etiket arşivi: HackerOne

Sektörel

Zafiyet raporlarını çalıp bug bounty istedi: HackerOne kapıyı gösterdi!

Yorum yapın

Zafiyet raporlarını çalıp bug bounty istedi: HackerOne kapıyı gösterdi!Bug Bounty platformu olan HackerOne, bir çalışanını “kendi kişisel çıkarı için güvenlik açığı raporlarına eriştiği ve buradan ek ödüller talep ettiği” gerekçesiyle işten çıkardı.

Zafiyet raporlarının HackerOne programı dışında ifşa edildiğini açıklayan platform yetkilileri “Bu, değerlerimizin, kültürümüzün, politikalarımızın ve iş sözleşmelerimizin açık bir ihlalidir.” ifadelerini kullandı.

“MESLEKTAŞLARININ EMEĞİ ÜZERİNDEN KAZANÇ ELDE ETMEYE ÇALIŞTI”

Şirketleri siber güvenlikçilerle buluşturan bir Bug Bounty platformu olan HackerOne, çalışanını işten çıkarma gerekçesinde “kendi kişisel çıkarı için güvenlik açığı raporlarına eriştiği ve buradan ek ödüller talep ettiği ve bunları HackerOne programı dışında ifşa ettiği”ni bildirdi.

Söz konusu olay, HackerOne müşterisi olan bir şirketin aynı güvenlik zafiyetini iki kişinin farklı yollardan raporladığını, normalde böyle olaylar yaşansa da bu vakada bir kişinin güvenlik açığıyla ilgili oldukça tehditkâr bir dil kullandığını belirttiği bir mesajı HackerOne’a iletmesiyle ortaya çıktı.

Konunun üzerine düşen HackerOne araştırmacıları daha sonra çalışanların güvenlik açığı açıklamalarına erişimiyle ilgili günlük verilerine baktı ve müşterilerin şüpheli olarak bildirdiği açıklamaların her birine yalnızca bir çalışanın eriştiğini buldu.

Hackerlikte “racon” değişti: Kim korkar deşifre olmaktan?

HackerOne, “Müşterimizden gelen mesaj sonrası 24 saat içinde söz konusu çalışanın sistem erişimini sonlandırmak için adımlar attık ve araştırmamızda derinleşmek için dizüstü bilgisayarlarını uzaktan erişime kapattık.” açıklamasında bulundu.

“BUG BOUNTY PROGRAMLARINA GÜVEN SARSILABİLİR”

Vulcan Cyber’dan Mike Parkin, bunun gibi olayların, HackerOne’ın yönettiği gibi kitle kaynaklı güvenlik açığı programlarının başarısının anahtarı olan güveni baltalayabileceğini ifade etti.

Parkin, “Güven, güvenlik açığı araştırmalarında büyük bir faktördür ve birçok bug bounty programında önemli rol oynar. Yani, birisi başka bir araştırmacının çalışmasını çalıp onu kendisininmiş gibi sunduğunda, bu temel güven sarsılabilir.” diye konuştu.

Bunun yanı sıra Parkin, HackerOne’ın şeffaf olduğunu ve durumu çözmek için hızlı davrandığını belirterek, “Umarım olay güvenlik açığı araştırma ekosistemini genel olarak etkilemez. Fakat ileriye dönük bug bounty başvurularının daha derin incelenmesine yol açabilir.” değerlendirmesinde bulundu.

Olayın ardından HackerOne, kontrollerin ve taramaların artacağını, çeşitli iyileştirmeler yapılacağını duyurdu.

Dijital Güvenlik

Singapur hükümeti sistemlerindeki açıkları bulan hackerları ödüllendiriyor

Yorum yapın

Singapur hükümetinin CIO’su (Bilişim Daire Başkanı), beyaz şapkalı hackerları kamuda kullanılan sistemlerdeki zafiyetleri ortaya çıkarmaları karşılığında 5 bin dolara kadar ödüllendireceği bir bug bounty (ödül avcılığı) programı başlattı.

Hükümet Teknoloji Ajansı (GovTech), yeni güvenlik açığı ödül programının, iletişim teknolojisi sistemlerinin güvenliğini artırmak için hayata geçirdikleri üçüncü kitle kaynaklı girişim olduğunu söyledi. Hükümet aynı zamanda, potansiyel güvenlik açıklarını bildirmeleri karşılığında kamuya açık güvenlik açığı ifşa programları da yürütüyor.

Hükümet’e bağlı Bilişim Ofisi, bug bounty programlarının “dönemsel” olduğunu ve her çalışma sırasında beş ila 10 adet kritik ve “yüksek profilli” sisteme odaklanıldığını söyledi. Öte yandan yeni ödül programlarının yapılmaya devam edeceğini ve böylece temel dijital hizmetleri sunmak için gereken daha geniş kapsamlı kritik iletişim teknolojisi sistemlerinin “sürekli olarak test edileceğini” söyledi.

Ortaya çıkan güvenlik açıklarının ciddiyetine bağlı olarak, ödül programına katılmaları onaylanan hackerlara 250 ila 5 bin dolar arasında ödül takdim edilecek. 

HAYATİ ÖNEME SAHİP AÇIK BULANA 150 BİN DOLARLIK ÖZEL ÖDÜL

Ek olarak, seçilen sistemler ve veriler üzerinde potansiyel olarak “olağanüstü etki” yaratabileceği tespit edilen güvenlik açıkları için 150 bin dolara kadar özel bir ödül verilebileceği belirtiliyor. Bu tür güvenlik açıklarının içeriğine ilişkin detaylar sadece kayıtlı hackerlara verilecek ve yalnızca seçilmiş sistemler için geçerli olacak. 

GovTech’e göre, özel ödül programı, Google ve Microsoft gibi teknoloji devleri tarafından gerçekleştirilen küresel kitle kaynaklı güvenlik açığı programları ile kıyaslanabilecek boyutta bir program. 

Ödül programına yalnızca bir dizi kriteri karşılayan hackerların katılmasına izin verilecek ve kontroller bug bounty operatörü HackerOne tarafından yapılacak. Katılımcılar onay aldıktan sonra, HackerOne tarafından sağlanan belirlenmiş özel bir sanal network geçidi üzerinden güvenlik değerlendirmeleri yapmak zorunda kalacak ve katılım kurallarını ihlal ettikleri takdirde erişimleri geri çekilecek. 

2018’DEN BERİ DÜZENLENİYOR

Govtech’in yönetişim ve siber güvenlikten Sorumlu Genel Müdür Yardımcısı Lim Bee Kwan, kuruluşlarının ilk olarak 2018’de kitle kaynaklı güvenlik açığı bulma programlarını kabul ettiğini söyledi. O zamandan beri, 500 geçerli güvenlik açığını tespit etmek için binden fazla hackerla çalışıldı. 

Lim, “Yeni güvenlik açığı ödül programı, hükümetin kritik sistemlerimizi test etmek için küresel siber güvenlik yetenekleri havuzundan daha fazla istifade etmesine ve vatandaşların verilerini güvende tutmasına olanak tanıyacak.” dedi. 

Ağustos 2021 itibariyle Singapur hükümeti, her biri iki ila üç hafta süren ve 33 sistemi kapsayan dört bug-bounty programı başlattı. Katılımcılara 100 bin dolardan fazla para dağıtıldı.  

Kamuya açık güvenlik açığı bilgilendirme programı, Ekim 2019’da başlatıldı ve Mart 2021 itibariyle 59 devlet kurumunu kapsayan 900’den fazla güvenlik açığı bildirildi. Bunlardan en az 400’ü o zamandan beri geçerli olan hatalardı. 

Geçen ay yayınlanan bir rapor, Singapur hükümetinin bug bounty ve ifşa programları aracılığıyla 2020’de ortaya çıkarılan güvenlik açıklarının yarısının hala geçerli olduğunu ortaya koydu. Smart Nation ve Dijital Devlet Ajansı’nın raporuna göre, kamu sektörü geçtiğimiz yıl veri olaylarında yüzde 44’lük bir artış kaydetti, ancak hiçbirinin “yüksek şiddette” olmadığı değerlendirildi.

Dijital Güvenlik

TikTok’ta kritik güvenlik açığı: İsteyen herkes veritabanına ulaşabilir mi?

Yorum yapın

Geçtiğimiz günlerde yayımlanan bir araştırma ile Çinli video paylaşım platformunda TikTok’ta önemli bir güvenlik açığını ortaya çıkardı. “Tek bir kullanıcının TikTok’un veritabanına ulaşıp gizlilik ihlaline sebep olabilir mi?” sorusunu merak eden araştırmacılar kimlik hırsızlığıyla sonuçlanabilecek kritik bir zafiyeti keşfetti.

Siber güvenlik firması Check Point Research araştırmacıları, popüler sosyal medya platformu TikTok kullanıcılarının kişisel verilerini çalmasına izin veren güvenlik açığı tespit etti. Tespit edilen güvenlik açığı TikTok’un “Arkadaş Bul” seçeneğinde bulundu.

Sıklıkla güvenlik açıklarıyla gündeme gelen ve Çin merkezli ByteDance firmasına ait olan TikTok uygulaması, gizlilik ihlallerini önlemek, kullanıcıların verilerini saklı tutabilmek adına bir süredir hata-ödül programı olan HackerOne ile birlikte çalışarak tehdit aktörlerinden önce güvenlik açıklarını bulmak için çalışma başlatmıştı. Yapılan çalışmalarla birlikte birçok açığını yamayan TikTok üzerinde yapılan çalışma ise “Tek bir kullanıcının TikTok’un veritabanına ulaşıp gizlilik ihlaline sebep olabilir mi?” sorusuna ‘evet’ yanıtını verdi.

AÇIK “ARKADAŞ BUL” SEÇENEĞİNDE

Chech Point Research araştırmacıları Eran Vaknin, Alon Boxiner tarafından yapılan araştırma TikTok’un gizliliğini inceledi. Böylelikle kullanıcı verileriyle ilişkili tüm eylemlere odaklanan araştırmacılar gizlilik açığını TikTok kullanıcılarının tanıyor olabilecekleri kişileri kolayca bulmasını sağlayan “Arkadaş Bul” seçeneğinde buldu.

TikTok uygulamasında “Arkadaş Bul” seçeneğine tıkladığınızda rehberinizdeki kişiler, hash fonksiyonuyla dizilenmiş kişi adları ve telefon numaralarından oluşan bir liste şeklinde HTTP isteği aracılığıyla uygulamaya yükleniyor.

Mavi Balina tehlikesinden çocukları korumanın 7 yolu

Bir sonraki adımda, önceki istekte gönderilen telefon numaralarına bağlı TikTok profillerini alan ikinci bir HTTP isteği gönderiyor. Alınan bu cevapta profil adları, telefon numaraları, fotoğraflar ve profillerle ilgili bilgiler yer alıyor.

Check Point araştırmacıları, elektronik olarak kısıtlanmış bir kaynağa erişmek için kullanılan “X-Tt-Token” belirteci kullanarak “Arkadaş Bul” seçeneğinin diğer bir adımı olan senkronizasyonla isteğinin günlük 500 kişi limitinden kurtulmak için cihaz tanımlayıcısını ele geçirdi. Daha sonra istekler üzerinde oynama yapabildiklerini keşfeden araştırmacılar “Tek bir kullanıcının TikTok’un veritabanına ulaşıp gizlilik ihlaline sebep olabilir mi?” sorusunun yanıtını buldu.

TEHDİT AKTÖRLERİ VERİTABANI OLUŞTURABİLİRDİ

Bulunan güvenlik açığıyla tehdit aktörlerinin, HTTP isteklerini manipüle ederek kullanıcıların karşıya yüklemelerine ve kişilerini senkronize etmelerine olanak tanıyan “Arkadaş Bul” seçeneğiyle kimlik hırsızlığı gibi saldırılarda kullanılabilecek kullanıcı ve telefon numaralarından oluşan bir veritabanı oluşturabilecekleri ortaya çıkarıldı.

GÜVENLİK AÇIĞI GİDERİLDİ

Konuyla ilgili açıklama yapan Check Point Ürün Güvenlik Açıkları Araştırma Başkanı Oded Vanunu, “Birincil motivasyonumuz TikTok’un gizliliğini keşfetmekti. TikTok platformunun özel kullanıcı verilerine erişim için kullanılıp kullanılamayacağını merak ettik. TikTok’un gizlilik ihlaline neden olan birden fazla koruma mekanizmasını atlatmayı başardık. Güvenlik açığı, bir saldırganın kullanıcı ayrıntıları ve ilgili telefon numaralarından oluşan bir veritabanı oluşturmasına olanak verebilirdi. Bu derecede hassas bilgilere sahip bir saldırgan, hedefli kimlik avı veya diğer suç eylemleri gibi bir dizi kötü amaçlı etkinlik gerçekleştirebilir” ifadelerini kullandı.

Güvenlik açığı, bir yama ile düzeltilse de uygulama ile ilgili soru işaretleri devam ediyor.

 

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Dijital Güvenlik

Romanyalı hacker bug bounty’de rekorları alt üst etti: İlk kez iki milyon dolar kazandı

Yorum yapın
Cosmin Iordache, bug bounty yarışında gelir rekoru kırdı

Romanyalı beyaz şapkalı hacker Cosmin Iordache , internetteki güvenlik açıklarını bularak iki milyon dolardan fazla kazanan ilk kişi oldu. Iordache bu geliri, dünyanın önde gelen ödül avcılığı (bug bounty) platformu HackerOne üzerinden kazandı.

HackerOne platformu tara Twitter’da paylaşılan mesajda, “334 gün önce 1 milyon dolara ulaşan yedinci hacker Cosmin Iordache idi. Bugün ise 2 milyon dolara ulaşan ilk hacker olarak başarısını kutluyoruz.” ifadelerini kullandı.

2 MİLYON DOLAR ÖDÜLE ULAŞTI

Bir süre önce HackerOne platformuna katılarak güvenlik açıklarını aramaya girişen Cosmin,  2019 yılında 1 milyon dolara ulaşan yedinci hacker olurken, 2020 yılı itibarıyla 2 milyon dolara ulaşan ilk hacker oldu.

Cosmin, HackerOne platformu aracılığıyla içlerinde PayPal, Dropbox, Facebook, Spotify, TikTok, Twitter, Uber, Github, AT&T, Verizon Media gibi üst düzey şirketlerin sistemlerinde şu ana dek 468 güvenlik açığını bildirdi. Beyaz şapkalı hacker ayrıca ABD Savunma Bakanlığına da birçok güvenlik açığı bildirdi.

 

İsrailli şirket yarışma açtı, 16 ülkeden 3500 hacker saldırdı

 

Son iki yılda yedi beyaz şapkalı hacker 1 milyon dolardan fazla para kazanırken Bleeping Computer’a göre Cosmin 90 gün içerisinde kabaca 300 bin dolar kazandı.

Hackerlığa olan ilgisi 2016 yılında Hamburg’da düzenlenen HackAttack semineriyle başlayan Cosmin, daha öncesinde full-stack developer olarak çalışıyordu. Sonrasında HackerOne platformundaki beyaz şapkalı hackerların güvenlik açığı raporlarını okuyarak işe başlayan Cosmin, kendisini bu alanda geliştirdi. Sonrasında Singapur’da düzenlenen h1-65 canlı hack etkinliğinde en yüksek mertebe olan ‘The Assassin’ olmaya hak kazandı. Aslen Romanyalı olan Cosmin, son 6 yıldır eşi ve iki köpeğiyle beraber Almanya’da yaşıyor.

HackerOne ÜZERİNDEN 100 MİLYON DOLAR KAZANDILAR

HackerOne platformuna göre, beyaz şapkalı hackerların yaklaşık yüzde 12’si yılda ortalama 20 bin dolar kazanırken, yüzde 3’ü 100 bin doların üzerinde kazanıyor. Yüzde 1,1’lik kesim ise yıllık ortalama 350 bin doların üstünde kazanıyor.

Şirketler ve beyaz şapkalı hackerlar arasında bir aracı görevi gören platform, beyaz şapkalı hackerların sadece 2018’de 19 milyon doların üzerinde ödül kazandığını ve bunun da önceki beş yılda HackerOne üyeleri tarafından kazanılan toplam 24 milyon dolara neredeyse eşdeğer olduğunu bildirmişti.

Beyaz şapkalı hackerlar, 2020’nin Mayıs ayı itibarıyla ise HackerOne platformu üzerinden 100 milyon dolar kazandı.

ŞU ANA DEK 170.000 GÜVENLİK HATASI KEŞFEDİLDİ

HackerOne platformunda beyaz şapkalı hackerlar, şirketin CEO’su Mårten Mickos’a göre, güvenlik açıklarını bildirmeye başladıklarından beri yaklaşık 170.000 güvenlik hatası buldu.

Şu anda 700.000’den fazla beyaz şapkalı hacker, neredeyse 2 bin HackerOne müşterisinin ürünlerindeki güvenlik açıklarını bulup bildirmek için çaba harcıyor.

 

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Siber Güvenlik

Beyaz Şapkalı Hacker Lopez, bir milyon dolar kazandı

Yorum yapın

Arjantinli beyaz şapkalı hacker Santiago Lopez, internetteki güvenlik açıklarını bularak bir milyon dolar kazanan ilk kişi oldu. Lopez bu geliri, dünyanın önde gelen ödül avcılığı (bug bounty) platformu HackerOne üzerinden kazandı.

Buenos Aires’te yaşayan 19 yaşındaki Santiago Lopez, 2015’da dünyanın önde gelen ödül avcılığı platformu HackerOne’a katılmış ve 2016’da burada elde ettiği ilk ödülden 50 dolar kazanmıştı. Güçlü şekilde kendini geliştiren Lopez, şimdi HackerOne’da bir milyon dolardan fazla ödül kazanan ilk kişi oldu.

Küresel bilgi güvenliği kuruluşu ESET’e göre, Arjantinli gencin hikayesi, artık kod üzerinde güvenlik açıkları aramanın kârlı bir yol olduğuna işaret ediyor. Santiago Lopez, “Çalışmalarımın tanındığını ve onlara değer verildiğini görmek benim için inanılmaz derecede gurur verici. Bu başarı yalnızca maddi anlamda değil, kuruluşların ve insanların bilgilerinin eskisinden daha güvende olduğunu temsil etmesi açısından da inanılmaz bir şey” diye konuştu.

Takma İsmi: Try to hack

Tamamen kendi kendini eğittiğini dile getiren genç, HackerOne’a katıldıktan sonra ‘try_to_hack’ takma adını almış ve sitelerarası sahteciliğe (Cross-Site Request Forgery) neden olabilecek bir yazılım açığını bularak 50 dolarlık ilk para ödülünü almıştı.

19 yaşındaki “beyaz şapkalı hacker” Santiago Lopez, bugüne kadar Verizon, Twitter ve WordPress gibi firmaların sağladığı hizmetlerdeki 1,670’ten fazla kod açığını ortaya çıkardı. Yaptığı iş ilk başta yalnızca okul sonrası bir uğraş iken, zamanla bir gencin günde 6-7 saatini alan ve Buenos Aires’teki sıradan bir yazılım mühendisinden çok daha fazla para kazandıran bir iş haline geldi.

https://www.youtube.com/watch?v=J4ElhxkLUk8

“Niceliğe odaklanıyorum”

Lopez, “Güvenlik açıkları (bug) ararken beni en çok ilgilendiren şey, kısa süre içerisinde olabildiğince çok güvenlik açığı bulmak ve bunlardan iyi ödüller kazanmak. Niteliğin nicelikten önemli görüldüğünü biliyorum, fakat beni ilgilendiren şey, bulduğum güvenlik açığı sayısı” bilgisini paylaştı. Lopez, bu önemli kilometre taşına ulaştıktan sonra, sektörde iyi tanınan Mark Litchfield’ın milyon dolarlık ödül avcılığı ekibine dahil oldu. Litchfield, 2016’da toplam 500 bin dolar ödül kazanarak Lopez’e kıyasla daha erken öne çıkmıştı.

Çok cömert bir yıl

HackerOne, Lopez’in becerilerini açıklamasının yanı sıra 2019 Hacker Raporu’nu da yayınladı. Şirketler ve beyaz şapkalı hackerlar arasında bir aracı görevi gören platform, beyaz şapkalı hackerların sadece 2018’de 19 milyon doların üzerinde ödül kazandığını ve bunun da önceki beş yılda HackerOne üyeleri tarafından kazanılan toplam 24 milyon dolara neredeyse eşdeğer olduğunu belirtiyor.

HackerOne

Gerçekten de, giderek daha fazla insan bu topluluğa katılıyor. HackerOne üyelerinin sayısı 300 bine ulaştı ve bu, bir yıl önceki sayının neredeyse iki katı. Yalnızca ABD ve Hindistan’daki ödül avcıları, üyelerin neredeyse üçte birini oluşturuyor. Her 10 HackerOne üyesinden dokuzu 35 yaşından küçük ve her iki kişiden biri 18-24 yaş aralığında. Tıpkı Lopez gibi çoğu (%81) kendi kendini eğitmişken, sadece yüzde 6’sı hack konusunda resmi bir öğrenim veya sertifika programı tamamlamış.

Siber Bülten abone listesine kaydolmak için formu doldurunuz