Bug Bounty Tecrübelerim – Son 3 Ay

Merhaba dostlarım,

Bu yazımda sizlere son 3 ayımdaki bug bounty tecrübelerimden bahsedeceğim.

Öncelikle bug bounty, teknolojik sistemlerde bulunan güvenlik zafiyetlerinin uygulama yayıncılarına raporlanarak karşılığında ödül talep edilmesi programıdır.Yurtdışında çok önemli bir pozisyonda olan bug bounty yani hata avcılığı programı tahmin ettiğiniz üzere Türkiye’de ilgi görmemekte. 🙂

HackerOne’a kayıt olarak hata avcılığını ön planda tutan yayıncılarla kolay yoldan muhattap olabilir veya direk yayıncının internet sitesinden ya da e-mail gibi başka yollarla bulduğunuz güvenlik zafiyetlerini raporlayabilirsiniz.

Şimdi size en önemli gördüğümden en az önemli gördüğüm son raporlarımı ve tecrübelerimi sıralayacağım.

1)- ekonomi.gov.tr (TC Ekonomi Bakanlığı)

Bir SQL injection güvenlik zafiyeti bulmuştum ve e-mail yoluyla zafiyeti raporladım, güvenlik zafiyeti kapatıldı fakat e-mail veya başka bir yolla geri dönüş yapılmadı.Alışkın olduğum bi durum hehe. 🙂

2)- Türkiye’nin En Büyük Bankalarından Birisi

İlgili bankada bulmuş olduğum zafiyetle de sitedeki yetkili personellerin hesaplarına izinsiz giriş yapılabiliyor veya onları yanıltıcı sayfalara yönlendirebiliyorduk. Yasal nedenlerden dolayı bankanın adını veremeyeceğim.

Raporlamam sonucu güvenlik zafiyeti kapatıldı ve karşılığında teşekkür e-mail’i aldım.Hiç yoktan iyiydi.

3)- facebook.com (Facebook)

Facebook’a da bir güvenlik zafiyeti bildirdim fakat fazla önemsenmedi.Yetersiz İngilizce bilgim,güvenlik operatörü muhattabım veya anlatış şeklimden birisi yanlış olsa gerek ki raporlamış olduğum hata bug bounty kapsamına alınmadı.Halbuki gerçek ve ciddi bir güvenlik zafiyetiydi,hedef hesap kapatılabiliyor ve hedef hesap adına birtakım işlemleri uzaktan halledebiliyorduk.Yorumlarda ilgi gösterirseniz Facebook’a yolladığım PoC videosunu sizinle paylaşabilirim. 🙂

Maalesef bug bounty kapsamında değerlendirilmedi.

4)- turk.net (TurkNet)

Türkiye’nin önde gelen internet servis sağlayıcılarından birisi olan TurkNet’e de bildirimde bulundum, başka bir banka sitesinde de benzer bir durum söz konusuydu yetkililerin hesaplarına erişim sağlanıp kötü amaçlı sayfalara yönlendirme yapılabiliyordu, firmaya ilettim fakat konunun üstüne düşmedikleri için ne zafiyeti kapattılar ne de geri dönüş yaptılar. 😀

5)- yoncu.com (Yöncü Bilişim)

Yöncü Bilişim’e de sunucu güvenliği konusunda yardım etmiştim ve aylık değeri 250 TL olan sunucularından 1 yıllık hediye etmişlerdi.

6)- wmaraci.com (WMAracı)

Kendilerine 6 ay önce medium seviyede bir güvenlik zafiyeti bildirdim, zafiyet kapatıldı ve 1 aylık platin üyelik hediye edildi,aynı zamanda 22.10.2017 tarihinde bir tane daha raporladım ve 1 yıllık bronz üyelik hediye edildi.

7)- r10.net (R10)

Kendilerine medium seviyede bir güvenlik zafiyeti bildirdim ve 6 aylık silver üyelik hediye edildi.

8)- yaani.com.tr (Yaani)

Turkcell’in yeni arama motoru girişimi Yaani’ye de medium seviyede bir güvenlik zafiyeti bildirdim,henüz geri dönüş yapılmadı ama hala beklemedeyim.

EKLEME (06.05.2019): Ara sıra Twitter’dan veya e-mail adresimden sorular alıyorum, liste güncel değil yazıyı yazalı hemen hemen 2 sene olmuş… Yukarıdakilerin dışında yine sistemlerinde güvenlik açıkları tespit ederek onur listesinde (hall of fame) bulunduğum yerler:

Erasmus University Hall of Fame

https://www.eur.nl/en/campus/security-safety/information-security/hall-fame

Microsoft Hall of Fame

https://portal.msrc.microsoft.com/en-us/security-guidance/researcher-acknowledgments-online-services

Bosch Hall of Fame

https://psirt.bosch.com/en/acknowledgments.html

AT&T Hall of Fame

https://bugbounty.att.com/hof.php

IBM Hall of Fame

https://hackerone.com/ozdemirnuman

Nokia Hall of Fame

https://networks.nokia.com/responsible-disclosure

Asus Hall of Fame

https://www.asus.com/Static_WebPage/ASUS-Product-Security-Advisory/

Xiaomi Hall of Fame

https://sec.xiaomi.com/u/261843e6865c2fa8

Tilburg University Hall of Fame

https://www.cert.uvt.nl/general/responsibledisclosure

CloudFlare Hall of Fame

(CloudFlare is a security service that nearly 8 millions of website use.)
https://hackerone.com/ozdemirnuman

University of Twente Hall of Fame

https://www.utwente.nl/en/cyber-safety/responsible/hall-of-fame/

European Union Hall of Fame

https://www.cert.europa.eu/cert/newsletter/en/latest_HallOfFame_.html

Softaculous Acknowledge

Softaculous, then I have awarded by vendors. Thousands of websites and servers uses Softaculous.

Vimeo Hall of Fame

https://hackerone.com/ozdemirnuman

eBay Bug Acknowledge

https://pages.ebay.com/securitycenter/security_researchers_acknowledgements.html

Symantec Hall of Fame

https://www.symantec.com/connect/pages/security-researcher-wall-fame

ABD Savunma Bakanlığı (The Pentagon) Hall of Fame

US Dept. of Defense (The Pentagon) Hall of Fame
https://hackerone.com/ozdemirnuman

Malwarebytes Hall of Fame

https://hackerone.com/ozdemirnuman/thanks

PureVPN Hall of Fame

https://bugcrowd.com/r4

MediaMarkt Acknowledge

https://hackerone.com/ozdemirnuman/thanks

Spotify Acknowledge

https://hackerone.com/ozdemirnuman/thanks

Haliyle aradan 2 yıl geçmesine rağmen hala geri dönüşler almak beni mutlu ediyor. Son olarak Emma Bell adlı bir dostumuz e-mail atarak tüm bug bounty programlarının listesini eklememi istemiş:

https://www.vpnmentor.com/blog/the-complete-list-of-bug-bounty-programs/ (List of All Bug Bounty Programs, thanks to Emma Bell)

Son 1-2 aydır vaktimin olmaması sebebiyle hata avcılığına da ara verdim,geri dönmeyi de düşünmüyorum.Bu 3 aylık dönem için aklıma gelen siteler yukarıdakiler.Özellikle söz konusu bankaya, yoncu, wmaraci ve r10’a teşekkür ediyorum. 🙂

Bulduğunuz güvenlik zafiyetlerini bildirerek ödül kazanabilirsiniz.Yeni bulduğum güvenlik zafiyetlerini blog’umda paylaşacağım.

Hepinize güvenli günler kardeşlerim.

Yazıya gelen yorumlar:

  1. Bla bla bla

    Sayın numan özdemir. Bende sizin bir açığınızı buldum.
    Yukarıda bankanın ismini vermiyecem diyorsonuz aşağıda teşekkür ediyorsunuz.

    • Ahaha aynen güncelleme geçtim, hall of fame’e yazdım seni pikaçu.

  2. Turkcell geri dönüş yaptı mı bende bir açık buldum hatta açıktan faydalaniyorum ama işte ödül vermezler diye söylemek istemiyorum. Kuru kuru açık buluyorsun bir teşekkür bile etmiyorlar o insanin zoruna gidiyor . Belki adamlara para kazandırmış oluyorsun ama adamlar bir hediye dahi vermiyorlar kritik açıklar için

Bla bla bla için bir cevap yazın Cevabı iptal et

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Yazı URL