Geçtiğimiz ay Facebook’un tüm kullanıcılarının profilini tehdit eden bir açık yakalayan Anand Prakash, durumu Facebook’a bildirdi. Facebook, ertesi gün kod hatasının giderildiğini doğruladı. Sekiz gün sonra ise Prakash’i 15 bin dolarla ödüllendirdi.
Anand Prakash’in yakaladığı güvenlik açığı, Facebook profilinin parolasını sıfırlamak için kullanıcının telefonuna gönderilen altı haneli PIN koduyla ilgili. Hesabın parolasını sıfırlamak isteyen kullanıcı, geçici olarak hesabına bu kodu girerek giriş yapıyor. Normalde 10-12 tahminden sonra Facebook süreci sonlandırıyor ve bu kod doğru girilmeden hesaba erişim sağlanamıyor. Fakat Anand Prakash, bu sürecin beta.facebook.com‘da farklı işlediğini ve parola denemenin birkaç kereyle sınırlandırılmadığını fark etmiş. Tüm olasılıkların denenmesiyle doğru koda ulaşabilmeye yol açan bu güvenlik sorunu, bütün Facebook kullanıcılarını ilgilendiriyor çünkü facebook.com‘daki tüm hesaplar beta.facebook.com‘da da mevcut.
Prakash durumu Facebook’a rapor ettikten sonra sorun çözülmüş. Üzerinden geçen sekiz günün sonunda ise Facebook, Prakash’i 15 bin dolarla ödüllendirmiş.
Bahsi geçen güvenlik açığı fark edilmeyip de yayılsaydı, milyonlarca Facebook kullanıcısının hesabı ve bilgileri saldırıya açık hale gelecekti. Facebook’un aşağı yukarı dört yıl önce başlattığı Bug Bounty programının amacı da güvenlik açıklarını tespit edenleri ödüllendirmek ve Facebook’un güvenliğini bu yolla sağlayabilmek. Çünkü Facebook gibi büyük şirketler için kodlardaki açıklar ve bu açıkların fark edilmesi büyük önem teşkil ediyor. Facebook, Bug Bounty programı başladığından beri Anand Prakash gibi 800 ödül avcısına 4,3 milyon dolar ödedi.
