Yeni Bug Bounty Programlarını Nereden Buluyorsunuz?

Uzun süredir bug bounty tarafında aktif olarak test yapıyorum. Özellikle aracılık sürecinin kolaylığı ve ödeme tarafındaki pratiklik nedeniyle uzun bir süre BugBounter üzerinden ilerledim.

Ancak son dönemde platforma yeni program eklenmemesi, mevcut programlarda da raporlara geç dönüşler olması sebebiyle ciddi anlamda scope kısırlığı yaşamaya başladım. Test edilebilecek alanlar daralınca verim de doğal olarak düşüyor. Asıl işim IT Personeliyim fakat bounty benim hobim, yani tek kazanç kapım değil.

Bu noktada merak ettiğim birkaç konu var:

• Siz yeni ve aktif bug bounty programlarını nerelerden takip ediyorsunuz?
• BugBounter dışında daha canlı scope’a sahip, geri dönüşleri makul olan platformlar var mı?
• Özel davetli / private programlara girme konusunda izlediğiniz bir yol var mı?

Kendi deneyimlerinizi, kullandığınız platformları veya takip ettiğiniz kaynakları paylaşırsanız çok faydalı olur. Şimdiden teşekkürler.

BugBounter bir noktadan sonra gerçekten dar gelmeye başlıyor. Ben bir süredir Bugcrowd tarafındayım, oradaki hareketlilik çok daha tatmin edici. Kısaca şöyle özetleyeyim:

• Takip: Bugcrowd’un ana sayfasındaki "CrowdStream" ve mail bildirimleri yeni programları yakalamak için gayet yeterli.
• Scope & Geri Dönüş: Platform çok daha profesyonel. Hangi açığın ne kadar (P1-P5) edeceği VRT kurallarıyla net bir şekilde belli, geri dönüşler de genellikle daha hızlı.
• Private Davetler: Public programlarda birkaç tane kaliteli ve "valid" rapor gönderip puanını (Accuracy) yükselttiğinde private davetleri zaten yağmaya başlıyor.

Açıkçası ben de ilk başladığımda "globalde çok mu kurt var, bize ekmek yedirmezler mi?" diye çekiniyordum ama işin içine girince kaliteli raporun her zaman karşılığını aldığını gördüm; o yüzden hiç çekinme, direkt dal derim. İyi hackler !!!