21 yaşındaki Arul Kumar’ın farkettiği Facebook güvenlik açığı, kullanıcıların haberi olmadan siteden herhangi bir fotoğrafın silinebilmesine sebep oluyor. Diğer bir deyişle herhangi bir kullanıcı bu açıktan yararlanarak başka bir kullanıcının, hatta bu onaylı kullanıcı ya da markaların Facebook sayfaları da olsa, istediği fotoğrafını kolaylıkla silebiliyor. Üstelik bunun için o kullanıcının arkadaşı olmasına ya da herhangi bir etkileşimde bulunmasına da gerek yok.

Bu açığı sosyal ağın mobil sitesindeki destek panelini karıştırırken fark eden Kumar, durumu Facebook’un Whitehat ödül programına bildirdi. Önce Facebook böyle bir hatanın tespit edilemediğine dair Kumar’a mesaj gönderse de Kumar ısrarından vazgeçmedi. Kumar’ın kendi blogundan yayınladığı Facebook ile arasındaki yazışmalara göre Hintli araştırmacı güvenlik açığının nasıl işlediğine dair bir video yarattı ve bu videoyu ekleyerek Facebook’a durumu yeniden bildirdi.

Bunun üzerine Facebook, güvenlik açığının farkına varabildi ve bir sonraki mesajında Kumar’ın bu önemli güvenliğini tespit etmesi sebebiyle Facebook ödül programının onu 12,5 bin dolarla ödüllendirdiğini bildirdi. Ödül programı kapsamında sosyal ağın güvenlik açıklarını tespit eden araştırmacıları minimum 500 dolar ile ödüllendiren Facebook, böylelikle şimdiye kadar verdiği en büyük para ödüllerinden birini Kumar’a vermiş oldu.

Kumar’ın ilk olarak Facebook tarafından reddedilmesinden sonra hazırladığı videoda örnek olarak Mark Zuckerberg’i kullanması ise oldukça manidar. Videoda isterse nasıl Zuckerberg’in sayfasına sızıp fotoğraflarını silebileceğini anlatan Kumar’ın hemen bunun ardından ödüllendirilmesi akıllara geçtiğimiz haftalardaki Khalil Shreateh olayını getiriyor. Hatırlanacağı gibi Shreateh, sitede tespit ettiği açık Facebook tarafından önemsenmeyince Zuckerberg’in duvarına sızıp hatanın detaylarını paylaşmıştı. Shreateh’ten böyle bir gol yiyen Facebook, anlaşılan aynı hataya Kumar ile düşmek istemedi.

Filistinli bir geliştirici ve hacker olan Khalil Shreateh, bulduğu güvenlik açığını Facebook’un ödül programından yararlanarak sosyal ağın güvenlik geri bildirim sayfasında paylaştı ve bunu kendi bireysel blogunda da paylaştı. Bilindiği gibi Facebook, ağda hata bulan araştırmacılar için minimum 500 $’dan başlayan ödüller sunuyor. Ancak Facebook güvenlik ekibi “Bu bir hata değil,” diyerek Shreateh’in bulduğu açığı görmezden geldi.

Oysa ki Shreateh’in bulduğu açık doğrudan Facebook güvenlik ayarlarını yok sayıyor. Bu açık sayesinde kullanıcılar, arkadaşları olmasa da herhangi bir kullanıcının sayfasına girip duvarlarında paylaşım yapabiliyorlar. Üstelik bu kullanıcılar güvenlik ayarlarından duvarlarını herkese kapamış olsalar bile.

Filistinli hacker bu açıktan faydalanarak Mark Zuckerberg’in okul arkadaşı olan Sarah Goodin’in sayfasına girip bir ileti bile bıraktı. Bu iletinin ekran görüntüsünü alan ve yeniden bulduğu açığı raporlayan hacker durumu bir kez daha e-posta ile Facebook’a bildirdi. Yine aynı şekilde umursanmayan Shreateh, sonunda çareyi Mark Zuckerberg’in sayfasına sızıp durumu onun duvarında herkese açık bir şekilde paylaşmakta buldu.

Zuckerberg’in duvarına bu şekilde yazı yazmakla Shreateh, Facebook’un gizlilik politikasına aykırı hareket etmiş oldu. Zira Facebook bazı kişilerin bu hataları kötü niyetli kullanabileceğini söylerek hataların ve açıkların kullanıcıların sayfalarında paylaşmasını yasaklıyor. Bunun üzerine Facebook hackerın sayfasını geçici olarak kapatıp ödül programından muaf etse de Shreateh şimdiden bir Facebook efsanesi oldu bile.

Bilindiği gibi Google, kullanıcıların güvenliklerini etkileyecek olan sistemdeki hataları tespit eden araştırmacıları bir süredir ödüllendiriyor. Bu hata avı programı boyunca şimdiye kadar 2 binden fazla hata ve güvenlik açığı bulunduğunu açıklayan Google, bunun için söz verdikleri gibi bu hataları ortaya çıkaranlara 2 milyon dolardan fazla ödül verdiklerinin altını çiziyor.

Ödül avı programının sağladıkları yararlardan memnun olduğunu dile getiren Google, bunu kutlamak için ödül miktarlarında da dikkate değer bir artışa gideceklerini belirtiyor. Eskiden 1000 dolar ödül seviyesinde olan güvenlik açıkları için 5 bin dolara kadar ödeme yapacaklarını müjdeleyen Google, böylelikle ödül miktarını beş kat arttırmış olacak. Bu da daha fazla güvenlik uzmanının Google’ın açıkları üzerine eğilmeye yönlendirecek.

Benzer şekilde Facebook da geçtiğimiz haftalarda hata avı programı kapsamında iki sene içinde 1 milyon dolar ödül dağıttığını açıklamıştı. Google ve Facebook güvenlik açıkları için ödül dağıtan tek teknoloji şirketleri değil. Mozilla, Microsoft gibi şirketler de bu gibi açıklar için vaat ettikleri ödüllerle güvenlik araştırmacılarını hatalarını ortaya çıkarmaya teşvik ediyorlar.

Teknoloji şirketlerinin yürüttüğü bu hata avı programları hackerların açıkları bulup bunu kötü niyetlerle kullanmak yerine şirketle paylaşmasına ön ayak olduğu için ayrı bir önem taşıyor. Google da kendi iç güvenlik denetimi haricinde dış güvenlik araştırmacılarını bu programa davet ederek sistemini daha güvenli bir hale getirmek için çalışmalar yapmaya devam ediyor.