Facebook, güvenlik açığını bildiren bir kişiyi daha ödüllendirdi

Facebook'un açığın bulan bir kişi daha ödüllendirildi. Anand Prakash isimli Facebook kullanıcısı, geçen ay sosyal paylaşım sitesini kullandığı sırada kod hatasından kaynaklı olan bir hataya rastlamış. Bu hatayı detaylı bir şekilde inceleyen Anand, hatanın tek seferlik birşey olmadığını anlamasının ardından Facebook'a bir geri bildirim göndermiş. Anand'ın geri bildirimdeki kod hatasını saptayan ve hemen düzelten Facebook, kullanıcının bu iyi davranışından ötürü geri bildirimden sadece 8 gün sonra ona 15.000 dolar ödeme yapmış.

Anand'ın bulduğu kod hatası Facebook'un parola sıfırlamasıyla alakalı. Parola sıfırlama talebinde bulunduğunuzda hesapla ilişkilendirilmiş olan telefona 6 haneli PIN numarası gönderen Facebook, bu PIN numarasını girmeniz için 10 deneme hakkı sunuyor. Tüm deneme hakları tükendikten sonra PIN işlevsiz hale geliyor ve artık deneme yapılamıyor. Bu işlevin Facebook'ta normal işlediğini, ancak beta.facebook.com'da durumun farklı olduğunu keşfeden Anand, beta.facebook'un PIN denemesinde sınırlandırmanın olmadığını görmüş. Tabii ki deneme sınırlandırılmasının olmaması, işini bilen birisinin en basit programlarla 999.999 olasılıklı şifreyi kırabileceği anlamına geliyor.

Bu küçük güvenlik hatasını keşfederek 15.000 dolar kazanmayı başaran Anand, Facebook'un Bug Bounty programına katılan yüzlerce kişiden sadece birisi. Dört yıl önce başlatılan Bug Bounty programı, sosyal paylaşım sitesinde açık bulan kişilerin ödüllendirilmesini kapsıyor. Program dahilinde yaklaşık 800 kişi, toplamda 4.3 milyon dolarla ödüllendirilmiş.