Ödüllendirme programları revaçta
İllegal internet dünyasının karaborsacıları yasal firmaların yaptıklarını yapıyor ve ödül avcılarının sistemlerindeki güvenlik açıklarını bulmalarını sağlamak üzere ödüllendirme programlarına yöneliyorlar. Hansa Market de onlardan biri. CyberScoop’un haberine göre geçtiğimiz yıl 3 milyon dolar getiri sağlayan bu pazar, yaklaşık 10.000 dolar değerinde ödüller sunan güvenlik açığı ödüllendirme programı başlattı. Hansa gibi uyuşturucu, silah, hesap bilgileri ve diğer verilerin satışını yapan pazar alanları göz önünde bulundurulduğunda, bu tip sitelerin satıcılarını cezai müeyyidelere karşı korumak için güvenlik ölçütlerini güçlendirmeye çalıştıkları anlaşılıyor. Aynı zamanda satışa sundukları kullanıcı hesap bilgileri ve diğer tip verilerin hackerlar tarafından çalınmasına da engel olmak istiyorlar.
Faaliyet halinde olan en büyük kara pazar olan AlphaBay’ın, sitedeki özel mesajların dışarıdan okunmasını sağlayan bir yazılım tarafından etkilenmesinden sonra Hansa bu programı başlattı. Hansa’nın sözcüsü CyberScoop’a, programın 30 Ocak’tan başladığı günden bu yana sistemdeki açıklara yönelik kritik olmayan, basit sorunlar bulunduğuna dair bir çok bildirim aldıklarını belirtti. Bu bildirimler 500 dolar ile 1.000 dolar arasında bir değerdeler. 10.000 dolarlık en büyük değere sahip olan ödül, HANSA’nın bütünlüğünü ciddi anlamda bozabilecek açıkların tespiti için ayrılmış.
Bununla birlikte Dark Web güvenlik aracı OnionScan üzerinde çalışma yapan Sarah Jamie Lewis adlı ‘gizlilik araştırmacısı’, açık ödüllendirme programlarının karaborsa web sitelerine pek yardımcı olmayacağına inanıyor. Güvenlik sorunlarını çözmek istiyorlarsa daha derine inmek zorundalar diyor:
“ Onions (Tor ağı üzerinden erişilen sitelere verilen takma isim)’larla yayılan sorunlar yazılım tasarımı seviyesindeki kalitesiz öngörülerden ileri geliyor. Gizlilik göz önünde bulundurulmadan internet erişimi için tasarımlanan web teknolojilerinin güvenilirliği sorgulanacak derecede. Güvenlik açığı ödüllendirme programları sadece bir yamalamadan ibaret. Asıl ihtiyacımız olan, yazılım yığınlarına, sunuculara, blog platformlarına v.b. şeylere yönelik yeni bir gizlilik anlayışı.”
