Dev teknoloji devleri Google ile Apple arasında dikkat çeken bir tartışma başladı. Google, Apple’ın siber güvenlik uzmanlarının Chrome’daki bir güvenlik açığını tespit ettiğini, ancak bildirimde bulunmadığı için harekete geçilemediğini söyledi. Üstelik Google, sonraki aşamada aslında bilinen güvenlik açığını tespit eden başka bir siber güvenlik uzmanına 10 bin dolar ödül verdi.
Google’ın açıklamasına göre Chrome’daki güvenlik açığı, HXP CTF 2022 etkinlikleri sırasında Apple için çalışan “Gallileo” isimli bir siber güvenlik araştırmacısı tarafından tespit edildi. Ancak bildirim yapılmayınca, söz konusu güvenlik açığı ile ilgili çalışma yapılmadı. Ancak aynı etkinliğe katılan başka bir yarışmacı da söz konusu güvenlik açığını tespit etti. “Sisu” isimli araştırmacı, güvenlik açığının ortaya çıkmasını sağladı.
Peki Apple çalışanı, güvenlik açığını neden Google’a bildirmedi?
İşte bu kısım biraz karışık. TechCrunch, Apple için çalışan Gallileo kod adlı kişinin Discord’daki bir açıklamasına denk geldi. Gallileo’ya göre güvenlik açığı, çok da önemli değildi. Ayrıca bu güvenlik açığı ile ilgili rapor hazırlaması da tam 2 haftasını almıştı. Hazırladığı raporu da Apple ile paylaşan personel, güvenlik açığının 5 Haziran‘da Google’a bildirildiğini söylüyordu. Oysa ki HXP CTF 2022 etkinliklerinde tespit edilen sıfır gün açığı, aslında 29 Mart’ta kapatılmıştı.
Apple, konuyla ilgili resmi bir açıklama yapmadı. Google da güvenlik açığını Apple’a rağmen kapattığı için mutlu. Ancak siber güvenlik araştırmacıları, yaşananlardan ötürü rahatsızlar. Neticede sıfır gün açıkları, tüm kullanıcılar için kritik önem arz ediyor. Üstelik Apple, kendi güvenlik politikalarına göre bulunan güvenlik açıklarını anında bildiriyor. Google Chrome için tespit edilen açığın neden bildirilmediği, çalışanın bireysel olarak neden adım atmayıp 10 bin doları elinin tersiyle ittiği gizemini korumaya devam ediyor…
Kaynak: Webtekno