Bir kuruluşun kusursuz çalışan ve güvenli bir hizmet üretme çabalarına rağmen, yazılım hataları meydana gelebilir ve gerçekleşebilir ve bazıları diğerlerinden daha ciddidir.


Bazen bu hatalar, en deneyimli güvenlik ekipleri tarafından bile algılanmayabilir, bu da potansiyel olarak kullanıcılarının dijital güvenliğini tehlikeye atan ve onları siber saldırılara maruz bırakan bir ürünle sonuçlanabilir. Birçok şirket, sistemlerinde tespit edilemeyen güvenlik açıklarını bulmalarına yardımcı olmak için siber güvenlik araştırmacılarını işe almak için hata ödül programları oluşturdu.

Esasen, araştırmacı var olabilecek güvenlik açıklarından yararlanmaya çalışmak için (etik olarak) satıcının sistemine girer. Araştırmacı, yeterince önemli bir risk oluşturan bir güvenlik açığını keşfederse, araştırmacı, bulunan hatanın ciddiyetine bağlı olarak yüzlerce dolar, hatta yüz binlerce dolar değerinde bir hata bonusu toplayabilir. Böcek ödül avcıları genellikle siber güvenlik kuruluşlarının bilinmeyen kahramanları olarak hareket eder ve kuruluşların tüketicilerin dijital güvenliğini sağlamaktan sorumludur.

Bununla birlikte, bir kuruluş siber güvenlik araştırmacısı ile araştırmacı tarafından ortaya çıkarılan bir güvenlik açığının ciddiyeti konusunda anlaşmaz olduğunda ne olur? Bir kuruluş, araştırmacının bulgularını kamuya açıklamasını yasaklayarak ya da sadece araştırmacının bir güvenlik açığı hakkında kamuoyunda sessiz kalması şartıyla bir hata ödemesi kabul ederek hesap verebilirlikten kaçınmaya çalıştığında ne olur? Bu olduğunda, tüketicilerin dijital güvenliği ve kişisel gizliliği ciddi şekilde tehlikeye girebilir.

Hata ödül programları, tüketicilerin her gün kullandıkları yazılım ve uygulamaları çalıştıran sistemlerin güvenli ve düzgün bir şekilde çalışmasını sağlamak için gereklidir. Siber güvenlik araştırmacılarını ve etik hackerları öne çıkıp güvenlik açıklarını bulmaya teşvik ediyorlar. Hata kelle avcılarının bir gizlilik anlaşması (NDA) imzalamalarını istemenin, potansiyel olarak ciddi güvenlik açıklarının yama yapılmadan önce halka açık ve sömürülmesini önlemenin önemli ve etkili bir yolu olduğu anlamına gelir..

Bununla birlikte, bir araştırmacının bir güvenlik açığını herkese açık bir şekilde ifşa etmesini önleyen NDA hükümleri, örneğin, bir şirketin hatayı düzgün bir şekilde ele alması için çok az teşvik sağlayabilir ve kullanıcıları çeşitli siber tehditlere maruz bırakabilir..

Güvenlik araştırmacıları ve böcek ödül avcıları, şirketleri kullanıcılarını güvenli ve güvenli tutmaktan sorumlu tutmak için harika bir iş çıkarır. Ancak şirketler, hesap verebilirliği etkilemek için güvenlik araştırmacıları ile şüpheli NDA taktikleri gerçekleştirdiğinde, kullanıcı güvenliği büyük risk altına sokulabilir.

Son zamanlarda yüksek profilli veri ihlali dalgası ve teknolojideki en büyük isimlerin bazılarını içeren büyük güvenlik gözetimi ışığında, halk, bilgilerine emanet ettikleri şirketlerden daha fazla hesap vermeyi hak ediyor. Dünyanın dört bir yanındaki milletvekilleri sektöre zarar vermeye başladı ve teknoloji şirketlerini hassas verileri nasıl ele aldıklarından sorumlu tutarken tüketicileri korumayı amaçlayan mevzuat hazırlıyorlar. Facebook’un Mark Zuckerberg, Microsoft’un Bill Gates ve Apple’ın Tim Cook’u gibi üst düzey sektör yöneticilerinin hepsi, daha iyi tüketici gizliliği korumaları ve şirketler için daha fazla hesap verebilirlik duygusunu kabul etti. Aynı zamanda, tüketiciler şirketlerin özel verilerini nasıl yönettiklerine giderek daha fazla güvensizleşti.

Bu eğilim göz önüne alındığında, Zoom’un bir siber güvenlik araştırmacısının video konferans uygulamasındaki bazı ciddi güvenlik açıklarını sorumlu bir şekilde açıklaması şaşırtıcıdır. Mart ayında, siber güvenlik araştırmacısı Jonathan Leitschuh, Mac bilgisayarlar için video konferans uygulamasında bulunan üç büyük güvenlik açığını şirkete bildirmek için Zoom ile temasa geçti. Kötü niyetli bir saldırganın kullanıcının makinesinde bir hizmet reddi (DOS) saldırısı başlatmasına izin veren bir hataya ve Yakınlaştırma uygulamasını kaldırdıktan sonra bile kullanıcının Mac'inde yüklü bir yerel web sunucusunu bırakan bir hataya ek olarak Leitschuh Kötü niyetli bir üçüncü taraf varlığın, şüphesiz bir Mac kullanıcısının mikrofonunu ve kamerasını uzaktan ve otomatik olarak etkinleştirmesine izin veren ciddi endişe verici güvenlik açığı.

Leitschuh'un blog yazısına göre Zoom, devam eden görüşmeler sırasındaki güvenlik açıklarının ciddiyetini sürekli küçümsedi. Leitschuh Zoom'a kamuya açıklanmadan önce sorunları çözmek için endüstri standardı 90 günlük bir pencere verdi. Hatta, şirket kalıcı düzeltmeyi yaymaya çalışırken kamera güvenlik açığını geçici olarak düzeltmek için Zoom'a “hızlı düzeltme” çözümü adını verdi. 90 günlük kamuyu aydınlatma son teslim tarihinden önceki bir toplantıda Zoom, Leitschuh'a önerdiği düzeltmeyi sundu. Bununla birlikte, araştırmacı önerilen çözümün yetersiz olduğunu ve çeşitli yollarla kolayca atlanabileceğini belirtmek için hızlıydı..

90 günlük kamuya açıklanma süresinin sonunda, Zoom geçici “hızlı düzeltme” çözümünü uygulamaya koydu. Leitschuh blog yazısına şunu yazdı:

"Nihayetinde, Zoom bildirilen güvenlik açığının gerçekten var olduğunu hızlı bir şekilde doğrulayamadı ve müşterilere zamanında teslim edilen sorunu gideremedi. Bu profilin ve bu kadar geniş bir kullanıcı tabanına sahip bir kuruluş, kullanıcılarının saldırılara karşı korunmasında daha proaktif olmalıydı."

Şirket blogundaki halka açıklamaya ilk yanıtında Zoom, video güvenlik açığının ciddiyetini kabul etmeyi reddetti ve “nihayetinde uygulama işlevselliğini değiştirmemeye karar verdi.” Yine de (yalnızca açıklamadan sonra önemli bir kamu tepkisi aldıktan sonra) Zoom, istismarı mümkün kılan yerel web sunucusunu tamamen kaldırmayı kabul etti, şirketin ilk yanıtı ve Leitschuh'un Zoom'un sorumlu açıklamasını ele almayı nasıl seçtiğine dair açıklamaları, Zoom'un sorunu ciddiye almadığını ve düzgün bir şekilde çözüme ilgi göstermediğini ortaya koydu. o.

Sessiz ol

Zoom, Leitschuh’un bu konudaki sessizliğini, şirketin aşırı ödül programından sadece aşırı sıkı bir NDA imzalaması şartıyla yararlanmasına izin vererek satın almaya çalışmıştı. Leitschuh teklifi reddetti. Zoom, araştırmacıya mali bir ödül teklif edildiğini, ancak “ifşa etmeme şartları” nedeniyle reddettiğini iddia etti. Zoom'un bahsetmeyi ihmal ettiği şey, Leitschuh'un ifade ettiği özel terimlerin, düzgün bir şekilde yama yapıldıktan sonra bile güvenlik açıklarını ifşa etmesinin yasaklanmış olacağıdır. Bu, şirketin önemsiz olduğu düşünülen bir güvenlik açığını gidermek için Zoom'a sıfır teşvik verirdi.

NDA'lar hata ödül programlarında yaygın bir uygulamadır, ancak araştırmacıdan kalıcı sessizlik talep etmek sus para ödemeye benzer ve sonuçta araştırmacıya fayda sağlamaz, ayrıca kullanıcılara veya genel olarak kamu yararına olmaz. NDA'nın rolü, halka açılmadan ve siber suçlular tarafından potansiyel olarak sömürülmeden önce şirkete bir güvenlik açığını gidermek ve düzeltmek için makul bir süre vermek olmalıdır. Şirketler, bir güvenlik açığını gidermek için çalışırken makul bir gizlilik beklentisine sahiptir, ancak öncelikle kullanıcının yararına, öncelikle kamuoyu mahkemesinde yüzünü kurtarmak için değil. Öte yandan araştırmacılar, parasal bir ödülün yanı sıra çabaları için halkın tanınması için makul bir beklentiye sahipler. Kullanıcıların, ürünlerini kullandıkları şirketlerin gizliliklerini korumak için ellerinden gelen her şeyi yapmaları konusunda makul bir beklentisi vardır. Son olarak, halkın hangi güvenlik açıklarının var olduğunu ve tüketicileri siber tehditlerden korumak için neler yapıldığını ve tüketicilerin kendilerini korumak için neler yapabileceğini bilme konusunda makul bir hakkı vardır..

Çelişen Öncelikler

Zoom'un bu durumu olduğundan daha kötü idare etmesi zor olurdu. Şirket o kadar kusursuz bir kullanıcı deneyimi yaratmaya odaklandı ki kullanıcı gizliliğini korumanın kritik önemini tamamen gözden kaçırdı. “Video, Zoom deneyiminin merkezinde. Önce video platformumuz, dünyadaki kullanıcılarımız için önemli bir avantajdır ve müşterilerimiz, sürtünmesiz video iletişimi deneyimimiz için Zoom'u seçtiklerini söylediler. ” Ancak Zoom, kullanıcıları için bu "sürtünmesiz" video deneyimini kolaylaştırmak için Safari web tarayıcısında bir güvenlik özelliğini etkili bir şekilde atlayan Mac bilgisayarlarda arka planda yerel bir web sunucusu kurmaya başvurdu. Söz konusu Safari güvenlik özelliği, uygulamayı Mac'te başlatmadan önce kullanıcının onayını gerektiriyordu. Zoom’un buna çözümü kasıtlı olarak atlamak ve bir veya iki tıklama kaydetmek için kullanıcılarının gizliliğini riske atmaktı.

Ancak açıklama sonrasında aldığı kamu geri tepmesinden sonra şirket anlamlı bir adım attı. Şirketin ilk yanıtı, uygulamanın barındırdığı önemli güvenlik açıkları ışığında bile uygulama işlevselliğini değiştirme niyeti olmadığını öne sürdü. Şirketin, kullanıcı güvenliği konusunda kullanıcı deneyimine öncelik vermeye istekli olduğu anlaşılıyor. Sorunsuz kullanıcı deneyimi şüphesiz herhangi bir çevrimiçi uygulama için yararlı olsa da, kesinlikle güvenlik ve gizlilik pahasına olmamalıdır.

Şirketin kredisine, kurucu ortak ve CEO Eric S. Yuan daha sonra Zoom'un durumu kötü ele aldığını ve daha iyisini yapmayı taahhüt ettiğini kabul etti. Yuan bir blog gönderisinde “durumu yanlış değerlendirdik ve yeterince hızlı yanıt vermedik - ve bu bizde. Sahipliğin tamamını alıyoruz ve çok şey öğrendik. Size söyleyebileceğim, kullanıcı güvenliğini inanılmaz derecede ciddiye aldığımız ve yürekten kullanıcılarımız tarafından doğru şekilde yapmaya kararlıyız. ”Diyerek şunları da ekliyor:“ mevcut yükseltme sürecimiz bu durumda yeterince iyi değildi. Gelecekteki güvenlikle ilgili tüm kaygılardaki döngüleri alma, tırmandırma ve kapatma sürecimizi geliştirmek için adımlar attık. ”

"durumu yanlış değerlendirdik ve yeterince hızlı yanıt vermedik - bu bizde.

Nihayetinde, araştırmacı, NDA'nın Zoom tarafından kendisine sunulan şartlarını kabul etmesine ve bulgularını ifşa etmesine izin verilmemesine rağmen, güvenlik açığı hakkında hiçbir şey duymamış olabiliriz. Daha da kötüsü, şirket büyük olasılıkla sorunu çözmemiş olabilir ve milyonlarca kullanıcıyı ciddi bir gizlilik ihlaline karşı savunmasız bırakabilirdi.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me