Как стать автором
Обновить

Apple вводит программу вознаграждения за выявление уязвимостей в своих продуктах

Время на прочтение 2 мин
Количество просмотров 8.8K


Многие компании, работающие в ИТ-сфере, предлагают вознаграждение тем пользователям, которые смогли обнаружить какие-либо опасные баги в продукции этих компаний. За последние пять лет bug bounty программы ввели десятки, если не сотни компаний. Для них выгоднее прибегнуть к краудсорсингу, выплатив определённую сумму за найденную сторонним специалистом уязвимость, чем пропустить проблему и поплатиться утечкой данных и компрометацией своих серверов. В этом случае убытки могут быть огромными.

Все эти годы корпорация Apple отказывалась выплачивать вознаграждение тем пользователям, кто находил уязвимость в ее продукции и сообщал о проблеме. Сегодня все изменилось. Айван Крстич (Ivan Krstic), глава по инженерной безопасности и архитектуре Apple анонсировал на конференции Black Hat собственную bug bounty программу Apple. Максимальная сумма вознаграждения для специалистов, сообщивших об уязвимости, составит $200 000.


Программа будет запущена с сентября. Сначала вознаграждение будет выплачиваться только специалистам, с которыми корпорация уже работала. Крстич объяснил это тем, что в случае запуска программы для всех компанию просто завалят информацией о самых разных проблемах, как явных, так и ложных. В этом информационном потоке можно пропустить действительно важное сообщение. В дальнейшем Apple будет работать со всеми специалистами по информационной безопасности, которые желают сотрудничать.

Крстич — первый представитель Apple, выступивший на конференции Black Hat за четыре года. Обычно корпорация сообщала какие-либо подробности, имеющие отношение к безопасности своих продуктов и сервисов на собственной конференции WWDC.

$200 000 — довольно крупная сумма, у ряда компаний вознаграждение куда меньше. Но это не рекорд. ФБР выплатила за взлом телефона «стрелка из Сан-Бернардино» миллион долларов США.

Ранее уязвимости искали собственные сотрудники Apple. Но после ряда отчетов отдела по информационной безопасности корпорации руководство приняло решение воспользоваться услугами сторонних специалистов. По словам Крстича, с течением времени собственным сотрудникам становится все сложнее искать уязвимость.

В рамках программы предлагается несколько категорий уязвимостей, за обнаружение которых дается вознаграждение:
  • Уязвимости в компонентах безопасной загрузки: до $200 000;
  • Уязвимости, позволяющие извлечь конфиденциальную информацию из Secure Enclave: до $100 000;
  • Выполнение произвольного или вредоносного кода с привилегиями ядра: до $50 000;
  • Доступ к данным учетных записей iCloud на серверах Apple: до $50 000;
  • Доступ из «песочницы» к данным пользователя вне «песочницы»: до $25 000.

Отчет о найденной проблеме будет оцениваться по нескольким критериям, включая ясность описания проблемы, ее новизна, критичность уязвимости.
Теги:
Хабы:
Если эта публикация вас вдохновила и вы хотите поддержать автора — не стесняйтесь нажать на кнопку
+16
Комментарии 1
Комментарии Комментарии 1

Другие новости

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн