bir yazılımdaki açıkların bildirilmesi karşılığında belli bir ücret ödemek ilk başta mantıklı gibi geliyor. tabii bununla birlikte bazı problemler ortaya çıkıyor. açık bildirerek para kazanma ihtimali var ama başvuru sırasında bir ücret ödenmiyor. başvuru için ödeme yapılsın demiyorum fakat bu durum sürekli olarak “güvenlik açığı bulduk” diye mesaj atanların çoğalmasına neden oluyor. her bildirimin incelenmesi gerektiğini varsayarsak aslında var olmayan güvenlik açıkları için zaman kaybediliyor. bu da bug bounty programının anlamını yitirmesine yol açıyor.
bunun ötesinde yüz milyonlarca – hatta milyarlarca – kişinin kullandığı yazılımlardaki ciddi açıklar için gri piyasada satmak çok daha fazla getiri sağladığı için bazıları bu yola yöneliyor. bir zero-day rce (remote code execution) açığı gri piyasada çok daha yüksek fiyatlarla alıcı bulabiliyor.
kısacası sorunların parayla çözülmeye çalışılması durumu daha da kötü hale getiriyor. bug bountyler güvenlik açıklarını azaltmak yerine kötü niyetli kişilerin daha fazla para kazanabileceği bir ortam yaratıyor.
her şirketin ayrı ayrı bug bounty platformu ve başvuru formu olacağına ortak bir sistemle reputation puanı olan bir yer lazım. bu şekilde kimin ciddi kimin para peşinde sahte güvenlik açığı bildirdiği daha kolay elenir.