Netflix, Bug Bounty Programı ile 1 Milyon Doların Üzerinde Ödeme Yaptı

2016 yılında, Netflix güvenlik açıklarını bulan araştırmacılara ödül verdiği bir program başlatmıştı.

Salı günü yaptığı açıklamada, 5.600’den fazla araştırmacının programa katkıda bulunduğunu ve yaklaşık 8.000 farklı güvenlik açığı raporu sunduğunu açıkladılar. Bu raporlar arasında, 845 güvenlik açığı için ödeme yapıldı ve bunların dörtte birinden fazlası ‘kritik’ veya ‘yüksek’ öneme sahipti.

2018’de halka açık bir bug bounty programı başlatan Netflix, başlangıçta bu programı yönetmek için Bugcrowd’u kullanıyordu. Ancak şimdi, HackerOne platformuna taşındığını duyurdu. Bu hamleyle birlikte, gelişmiş önceliklendirme, artan ödül aralıkları, genişletilmiş kapsam, özel programlar ve araştırmacı geri bildirim döngüleri gibi iyileştirmeler sunmayı vaat ediyor.

Netflix’in bug bounty programı, içerik yetkilendirme sorunlarını veya özel anahtarları ele geçirme gibi ciddi güvenlik açıklarını bulan araştırmacılara 300 ila 5.000 dolar arasında ödeme yapıyor. Netflix.com’u etkileyen kritik açıklar için ödüller 20.000 dolara kadar çıkabilirken, kurumsal varlıklarla ilgili kusurlar 10.000 dolara kadar ödüllendirilebiliyor. Ayrıca, mobil uygulamalar da bu programın kapsamında.

Son zamanlarda bir araştırmacı, Microsoft’un PlayReady içerik erişim ve koruma teknolojisindeki açıklardan yararlanarak Netflix dahil popüler yayın hizmetlerinden yasadışı olarak film indirilebileceğini gösterdi. Ancak, PlayReady saldırısının Netflix’in bug bounty programına uygun olup olmadığı belirsiz. Yine de, PlayReady açıklarını keşfeden araştırmacı, araştırmasının Microsoft ve diğer etkilenen şirketlerin bug bounty programları aracılığıyla sunmaya istekli olduklarından çok daha değerli olduğunu savundu.

About The Author

Reply