Apple, güvenlik ödül programını güncelleyerek siber güvenlik araştırmacıları için önemli bir fırsat sunuyor. Programın maksimum ödül miktarı 2 milyon dolara yükseltilirken, bonuslarla birlikte bu rakam 5 milyon dolara kadar çıkabiliyor. Bu yenilik, Apple’ı güvenlik açığı bulma (bug bounty) ödülleri konusunda en cömert şirketlerden biri haline getiriyor.
Hexacon 2025 etkinliğinde duyurulan bu yeni sistemle, Apple’ın 2 milyon dolarlık ana ödülü özellikle gelişmiş casus yazılımların kullandığı karmaşık saldırı zincirlerini ortaya çıkaran araştırmacılara verilecek. Şirket ayrıca, Lockdown Mode’u aşmayı başaran veya beta yazılımlarında ciddi güvenlik açıkları bulan araştırmacılara özel bonuslar sunarak toplam kazancı 5 milyon dolara kadar çıkarıyor.
Apple Güvenlik Araştırma Blogu’na göre, şirket 2020’den bu yana 800’den fazla araştırmacıya toplamda 35 milyon doların üzerinde ödeme yaptı. Ortalama ödül miktarı 43.750 dolar civarında seyrederken, bazı araştırmacılar 500.000 doların üzerinde gelir elde etti.
Yeni sistemde sadece büyük ödüllerle sınırlı kalınmıyor. Apple, iCloud güvenliğini aşanlara 1 milyon dolar, radyo tabanlı yakınlık saldırısı geliştirenlere 300.000 dolar ve WebKit üzerinde tek tıklamayla sandbox kaçışı bulanlara 100.000 dolar ödül veriyor. macOS Gatekeeper’ı aşan bir yöntem keşfeden araştırmacılar da 100.000 dolarlık ödüle hak kazanıyor. Bu çeşitlilik, şirketin güvenliğe verdiği önemi ve sistemlerini koruma konusundaki kararlılığını gösteriyor.
Diğer teknoloji şirketleri de benzer ödül programları sunsa da, Apple’ın seviyesine ulaşmakta zorlanıyorlar. AMD’nin ödül programının üst sınırı 30.000 dolar, Intel’in ise 100.000 dolar. Microsoft, maksimum 250.000 dolar ödül sunarken, Meta 300.000 dolara kadar ödül veriyor. Google’ın Vulnerability Reward Program (VRP) ise 100 dolar ile 1 milyon dolar arasında değişen ödüllerle araştırmacıları destekliyor. 2024 yılında Google, 660 araştırmacıya toplamda 11,8 milyon dolar ödeme yaptı ve kişi başına ortalama 17.800 dolar düştü.
Şirketler için bu tür büyük ödüllerin maliyeti yüksek gibi görünse de, siber saldırılardan kaynaklanabilecek itibar kaybı ve finansal zararlarla karşılaştırıldığında bu programlar oldukça karlı bir yatırım olarak değerlendiriliyor. Modern yazılım hataları sadece veri kaybına yol açmakla kalmayıp, bazı durumlarda insan hayatını da etkileyebiliyor. Devlet destekli gruplar ve özel aktörler giderek daha karmaşık yöntemlerle sistemleri hedef alırken, Apple’ın bu hamlesi hem güvenlik araştırmacılarını teşvik ediyor hem de kullanıcılarını daha güçlü bir dijital koruma altına alıyor.
