Apple вводит программу вознаграждения за выявление уязвимостей в своих продуктах

  • Новость


Многие компании, работающие в ИТ-сфере, предлагают вознаграждение тем пользователям, которые смогли обнаружить какие-либо опасные баги в продукции этих компаний. За последние пять лет bug bounty программы ввели десятки, если не сотни компаний. Для них выгоднее прибегнуть к краудсорсингу, выплатив определённую сумму за найденную сторонним специалистом уязвимость, чем пропустить проблему и поплатиться утечкой данных и компрометацией своих серверов. В этом случае убытки могут быть огромными.

Все эти годы корпорация Apple отказывалась выплачивать вознаграждение тем пользователям, кто находил уязвимость в ее продукции и сообщал о проблеме. Сегодня все изменилось. Айван Крстич (Ivan Krstic), глава по инженерной безопасности и архитектуре Apple анонсировал на конференции Black Hat собственную bug bounty программу Apple. Максимальная сумма вознаграждения для специалистов, сообщивших об уязвимости, составит $200 000.


Программа будет запущена с сентября. Сначала вознаграждение будет выплачиваться только специалистам, с которыми корпорация уже работала. Крстич объяснил это тем, что в случае запуска программы для всех компанию просто завалят информацией о самых разных проблемах, как явных, так и ложных. В этом информационном потоке можно пропустить действительно важное сообщение. В дальнейшем Apple будет работать со всеми специалистами по информационной безопасности, которые желают сотрудничать.

Крстич — первый представитель Apple, выступивший на конференции Black Hat за четыре года. Обычно корпорация сообщала какие-либо подробности, имеющие отношение к безопасности своих продуктов и сервисов на собственной конференции WWDC.

$200 000 — довольно крупная сумма, у ряда компаний вознаграждение куда меньше. Но это не рекорд. ФБР выплатила за взлом телефона «стрелка из Сан-Бернардино» миллион долларов США.

Ранее уязвимости искали собственные сотрудники Apple. Но после ряда отчетов отдела по информационной безопасности корпорации руководство приняло решение воспользоваться услугами сторонних специалистов. По словам Крстича, с течением времени собственным сотрудникам становится все сложнее искать уязвимость.

В рамках программы предлагается несколько категорий уязвимостей, за обнаружение которых дается вознаграждение:
  • Уязвимости в компонентах безопасной загрузки: до $200 000;
  • Уязвимости, позволяющие извлечь конфиденциальную информацию из Secure Enclave: до $100 000;
  • Выполнение произвольного или вредоносного кода с привилегиями ядра: до $50 000;
  • Доступ к данным учетных записей iCloud на серверах Apple: до $50 000;
  • Доступ из «песочницы» к данным пользователя вне «песочницы»: до $25 000.

Отчет о найденной проблеме будет оцениваться по нескольким критериям, включая ясность описания проблемы, ее новизна, критичность уязвимости.
  • +16
  • 7,5k
  • 1
Поделиться публикацией
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама
Комментарии 1
  • 0
    Выполнение произвольного или вредоносного кода с привилегиями ядра: до $50 000;

    Сдаётся мне, что такую уязвимость можно продать на много дороже в другом месте. Да и получив
    Доступ к данным учетных записей iCloud на серверах Apple

    … можно так же поднять более $50к за короткий промежуток времени.

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.