Группа хакеров получила от Apple почти 300 000 долларов за обнаружение 55 уязвимостей в системах компании.
Сэм Карри, Бретт Буерхаус, Бен Садехипур, Сэмюэл Эрб и Таннер Барнс три месяца взламывали платформы и сервисы Apple, чтобы выявить ряд слабых мест. 55 обнаруженных командой уязвимостей имели различную степень серьезности, причем некоторые были критическими.
В ходе нашей работы мы обнаружили различные уязвимости в основных частях их инфраструктуры, которые позволили бы злоумышленнику полностью скомпрометировать как клиентские, так и корпоративные приложения, запустить червя, способного автоматически захватить учетную запись iCloud жертвы, получить исходный код внутренних проектов Apple, полностью скомпрометировать программное обеспечение склада промышленного управления, используемое Apple, и захватить сеансы сотрудников Apple с возможностью доступа к инструментам управления и конфиденциальным ресурсам.
Apple, по-видимому, оперативно устранила большинство уязвимостей, причем некоторые были исправлены всего за несколько часов.
В целом, Apple очень быстро отреагировала на наши отчеты. Время от отправки до исправления наших наиболее критических отчетов составило всего четыре часа.
В рамках программы Apple по вознаграждению за безопасность группа получила значительные выплаты за некоторые из своих работ. По состоянию на воскресенье, 4 октября, они получили четыре платежа на общую сумму 51 500 долларов. Сюда входили 5 000 долларов за раскрытие полных имен пользователей iCloud, 6 000 долларов за обнаружение уязвимостей IDOR, 6 500 долларов за доступ к внутренним корпоративным средам и 34 000 долларов за обнаружение утечек системной памяти, содержащих данные клиентов.
Поскольку никто толком ничего не знал об их программе вознаграждения за ошибки, мы фактически шли неизведанным путем с такими большими временными затратами. У Apple была интересная история сотрудничества с исследователями безопасности, но, похоже, их программа раскрытия уязвимостей — это огромный шаг в правильном направлении для работы с хакерами по обеспечению безопасности активов и предоставления заинтересованным лицам возможности находить и сообщать об уязвимостях.
С прошлого года Apple активно инвестирует в свою программу вознаграждения за ошибки. Теперь исследователи безопасности могут получать до миллиона долларов за уязвимость, в зависимости от характера и серьезности обнаруженной уязвимости.
С разрешения команды безопасности Apple группа опубликовала подробный отчет, в котором описываются различные уязвимости и методы их обнаружения и эксплуатации. Они также намекнули, что возможны дополнительные вознаграждения.
Обновление 9 октября: На момент публикации группа сообщила, что получила от Apple 51 500 долларов в виде вознаграждений за четыре представленных отчета об уязвимостях. Теперь группа заявляет, что получила 32 платежа от Apple на общую сумму 288 500 долларов.
