Многие компании, работающие в ИТ-сфере, предлагают вознаграждение тем пользователям, которые смогли обнаружить какие-либо опасные баги в продукции этих компаний. За последние пять лет bug bounty программы ввели десятки, если не сотни компаний. Для них выгоднее прибегнуть к краудсорсингу, выплатив определённую сумму за найденную сторонним специалистом уязвимость, чем пропустить проблему и поплатиться утечкой данных и компрометацией своих серверов. В этом случае убытки могут быть огромными.
Все эти годы корпорация Apple отказывалась выплачивать вознаграждение тем пользователям, кто находил уязвимость в ее продукции и сообщал о проблеме. Сегодня все изменилось. Айван Крстич (Ivan Krstic), глава по инженерной безопасности и архитектуре Apple анонсировал на конференции Black Hat собственную bug bounty программу Apple. Максимальная сумма вознаграждения для специалистов, сообщивших об уязвимости, составит $200 000.
Apple's Ivan Krstić at #BlackHat2016 announces the new bug bounty program, with impressive payouts. pic.twitter.com/KpJ7dTjK02
— Neil Rubenking (@neiljrubenking) 4 августа 2016 г.
Программа будет запущена с сентября. Сначала вознаграждение будет выплачиваться только специалистам, с которыми корпорация уже работала. Крстич объяснил это тем, что в случае запуска программы для всех компанию просто завалят информацией о самых разных проблемах, как явных, так и ложных. В этом информационном потоке можно пропустить действительно важное сообщение. В дальнейшем Apple будет работать со всеми специалистами по информационной безопасности, которые желают сотрудничать.
Крстич — первый представитель Apple, выступивший на конференции Black Hat за четыре года. Обычно корпорация сообщала какие-либо подробности, имеющие отношение к безопасности своих продуктов и сервисов на собственной конференции WWDC.
$200 000 — довольно крупная сумма, у ряда компаний вознаграждение куда меньше. Но это не рекорд. ФБР выплатила за взлом телефона «стрелка из Сан-Бернардино» миллион долларов США.
Ранее уязвимости искали собственные сотрудники Apple. Но после ряда отчетов отдела по информационной безопасности корпорации руководство приняло решение воспользоваться услугами сторонних специалистов. По словам Крстича, с течением времени собственным сотрудникам становится все сложнее искать уязвимость.
В рамках программы предлагается несколько категорий уязвимостей, за обнаружение которых дается вознаграждение:
- Уязвимости в компонентах безопасной загрузки: до $200 000;
- Уязвимости, позволяющие извлечь конфиденциальную информацию из Secure Enclave: до $100 000;
- Выполнение произвольного или вредоносного кода с привилегиями ядра: до $50 000;
- Доступ к данным учетных записей iCloud на серверах Apple: до $50 000;
- Доступ из «песочницы» к данным пользователя вне «песочницы»: до $25 000.
Отчет о найденной проблеме будет оцениваться по нескольким критериям, включая ясность описания проблемы, ее новизна, критичность уязвимости.