Teknoloji devi Apple, güvenlik araştırmacılarını ödüllendirme programını önemli ölçüde genişleterek en yüksek güvenlik ödülünü 2 milyon dolara çıkardığını duyurdu. Bu hamleyle Apple, güvenlik açıklarını keşfedenlere en cömert ödülleri sunan şirket konumuna geldi. Üstelik, özel durumlarda ödülleri 5 milyon dolara kadar yükseltebilecek ek bonuslar da sunuluyor.
Apple'ın Güvenlik Araştırmaları blogundan alınan bilgilere göre, şirket 2020'den bu yana 800'den fazla güvenlik araştırmacısına toplamda 35 milyon doların üzerinde ödeme yaptı. Ortalama ödül miktarı ise 43.750 dolar civarında. Hatta bazı araştırmacıların yarım milyon doları bulan ödüller aldığı da belirtiliyor.
En yüksek 2 milyon dolarlık ödül, özellikle gelişmiş casus yazılım saldırılarında kullanılan türden karmaşık açık zincirlerini keşfedenlere verilecek. Ayrıca, Apple'ın Kilit Modu (Lockdown Mode) gibi güvenli ortamlarını aşabilenlere veya beta yazılımlarındaki kritik açıkları bulanlara yönelik bonuslar da bulunuyor. Bu eklemelerle birlikte toplam ödül potansiyeli 5 milyon doları aşıyor. Bunun yanı sıra, iCloud güvenliğini derinlemesine inceleyenlere 1 milyon dolara kadar, kablosuz yakınlık saldırıları geliştirenlere 1 milyon dolara kadar, WebKit sanal alanından (sandbox) tek tıkla kaçış mekanizması oluşturanlara 300.000 dolara kadar ve macOS'ta Gatekeeper'ı aşanlara 100.000 dolara kadar ödüller sunuluyor.
Apple'ın bu cömert adımının yanı sıra, sektördeki diğer büyük teknoloji şirketlerinin de benzer programları bulunuyor. Örneğin, AMD geçen yıl 30.000 dolara kadar, Intel ise 100.000 dolara kadar ödül vaat eden programlar duyurdu. Microsoft'un en yüksek ödülü 250.000 dolar iken, Meta 2011'den beri yürüttüğü programda bugüne kadar 25 milyon doların üzerinde ödeme yaptı ve şu anki maksimum ödülü 300.000 dolar. Google ise 2010'dan beri sürdürdüğü programda en ciddi açıkları bulanlara 1 milyon dolara kadar ödül veriyor ve geçtiğimiz yıl 660 araştırmacıya toplam 11.8 milyon dolar ödeme yaptı.
Bu tür ödül programları, yetenekli güvenlik araştırmacıları için oldukça kazançlı bir alan yaratıyor. Şirketler için ilk bakışta yüksek maliyetli gibi görünse de, güvenlik açıklarının kötü niyetli kişiler tarafından keşfedilip kötüye kullanılmasından doğacak itibar ve finansal zararların çok daha büyük olabileceği düşünülüyor. Ayrıca, yazılımlardaki hatalar, özellikle devlet destekli aktörler ve diğer üçüncü tarafların hedefli saldırılarında kullanıldığında, ciddi sonuçlara yol açabilir.
