Firmaların Güvenlik Açığını Bulabilenlere Binlerce Dolar Dağıtan Şirket: HackerOne
Şimdi sizlere iki lise arkadaşının başarı öyküsünü anlatacağız. Hollanda'da yaşayan ve eğlence amaçlı olarak bilgisayar yazılımları ile uğraşan, hatta o dönemlerde ''yarı profesyonel'' bir hacker olan Jobert Abma, en yakın arkadaşı Michiel Prins'e güzel bir mezuniyet hediyesi vermek istemiş ve yerel bir TV kanalının yönetim bilgilerini hack'lemeyi başarmış (hediyeye bak).
Her ikisi de güvenlik sistemlerinin açıklarını bulma konusunda yetenekli olan Abma ve Prins, okudukları üniversitenin güvenlik sistemini aşarak öğrenci bilgilerine ulaşmayı başarınca, üniversite tarafından görevlendirilmiş ve üniversite adına çalışmaya başlamış.
Sonrasında bu yeneteklerini bir üst seviyede sergilemek isteyen iki arkadaş, kendilerine bir şirket kurarak son derece ilginç bir tanıtım politikası izlemiş. Daha önceden çeşitli şirketlerin sistemlerinde açık bulan ve bu konuda şirketler ile iletişime geçmeye çalışan ikili, buna karşın pek ciddiye alınmayınca yöntemlerini değiştirmiş ve şirketlere ''1 saat içerisinde sisteminize sızabilirsek bir toplantı gerçekleştirelim'' şeklinde iddiada bulunmuşlar.
Bu yöntemin oldukça etkili olduğunu belirten ikili, bir hafta boyunca gece gündüz demeden şirketlerin açıklarını bularak iletişime geçmiş ve böylece kısa sürede Hollanda'daki önemli şirketlerin ilgisni çekmeyi başarmış. Ardından ise Abma ve Prins için ilk ciddi başarı gerçekleşmiş ve devlet bünyesinde, ayrıca büyük bir bankada ve güvenlik sisteminde çalışmaya başlamışlar.
Haftada yaklaşık 10.000 dolar kazanmaya başlayan iki arkadaş, zirveye ise San Francisco'ya gittiklerinde çıkmış. Burada önceden Facebook'un güvenlik bölümünün başında görev yapan Merijn Terheggen ve Alex Rice ile tanışan ikili, HackerOne adlı şirketi kurmuş..
HackerOne şirketinin çalışma mantığı şu şekilde; büyük şirketler HackerOne aracılığı ile hacker'larla iletişime geçerek onlardan güvenlik sistemlerinde açık bulmalarını istiyor ve bulunan açığın karşılığında belli bir miktar para ödüyor. Tabi hacker arkadaş şirketin sisteminde ne kadar büyük bir açık bulursa alacağı para da o derece büyük oluyor. Şirketi ve hacker'ı bir araya getiren köprü görevini gören HackerOne ise bu işlemden %20 pay alıyor.
''Bug bounty'' denen bu olay sayesinde şirketlerin güvenlik sistemlerindeki açıklar, kötü amaçlı hacker'lardan önce HackerOne aracılığı ile işe dahil olan hacker'lar tarafından bulunuyor. Zaten bu olaya Facebook, Google ve Microsoft gibi şirketlerden de alışıksınızdır. Bu şirketler de yılın belirli dönemlerinde benzer şekilde ''big bounty'' yarışmaları düzenlerler.
2012 yılında kurulan HackerOne, şimdiye kadar çeşitli şirketlere 21,000 güvenlik açığının bulunması konusunda yardımcı olmuş ve bu işlemler sonucunda açığı bulan hacker'lara toplamda 7 milyon dolara yakın bir para dağıtılmış. Tabi şirketin kurulması, Abma ve Prins ikilisinin oyundan çekilmesine sebep olmamış. Örneğin hala HackerOne'ın merkezindeki hacker olarak görev yapan Abma, hala gecesini gündüzene katarak çalışmakta ve son 8 ayda bulduğu güvenlik açıkları ile 80,000 dolarcivarı para kazanmış durumda.
Bu rakamlar bile aslında bazı hacker'ların kazandıklarına göre düşük seviyede. Abma'nın söylediğine göre bazı hacker'lar ''bug bounty'' olayı ile yıllık 200,000 dolar gelir elde etmekte. Hatta Abma yıllık hedefini 500,000 dolara çıkaran bir hacker da tanımaktaymış. Tabi bu rakamları görünce bazılarınız ''beklediğimden azmış'' diye düşünebilir.
Mesela Abma'nın son 8 ayda 80,000 dolar kazanması üst düzey bir hacker için az bir miktar gibi durmakta. Ancak Abma'nın da değindiği bir nokta var; bu paralar hacker'lar için ekstra gelir. Abma, zaten bu işler ile uğraşan hacker'ların çoğunun teknoloji sektöründe öncü olan yazılım ve güvenlik şirketlerinde görev yaptığını söylemekte. Yani bu arkadaşların aylık gelirleri zaten binlerce doları görüyor. ''Bug bounty'' ise onlar için bir hobi, ya da ekstra bir gelir oluyor.
Evet, Abma ve HackerOne'ın hikayesi bu şekilde. Eğer sizde güvenlik sistemlerindeki açıklar, bu açıkları bulma konusunda gerekli olan yazılımlar ile alakalı bilgi sahibi iseniz ve bir üst seviyeye çıkmayı amaçlıyorsanız, HackerOne'a buradan bir uğrayın deriz. Şirketler güvenlik açığı başına ödediklerini minimum ücret 500 dolar.