Apple платит тысячи долларов за найденные ошибки. Как это работает?

vaspvort

Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат
Регистрация
10/4/18
Сообщения
4.533
Репутация
9.658
Реакции
14.572
RUB
1.045
Сделок через гаранта
18
У Apple есть программа Security Bounty. По ней компания выплачивает гонорары за найденные уязвимости и ошибки в программных продуктах. Недавно IT-гигант выдал рекордное вознаграждение в 100 тысяч долларов, но есть и другие успешные примеры.

Условия Apple Security Bounty
Apple вознаграждает исследователей, которые обнаружили ранее неизвестную уязвимость, но при этом не воспользовались ею и не выложили в открытый доступ. Проблема должна воспроизводиться на актуальных устройствах с последними версиями iOS, iPadOS, macOS, tvOS или watchOS.

Выплата может достигать 1 млн долларов, но чаще всего хакерам достаётся около 100 тысяч долларов. Такие деньги получают, например, за полный доступ к учётной записи iCloud или чтение конфиденциальных данных с экрана блокировки.

ENPv3yycI9pUctGen7sT29Mxz1IHPSfTS1EeuKm.png

Рекордное вознаграждение
Гонорар в $100 500 достался студенту Райан Пикрен. Он через серию уязвимостей в Safari и iCloud получил доступ к веб-камере и микрофону Mac. Также энтузиаст смог посмотреть все сайты, которые когда-либо посещала жертва.

Стоит отметить, что исследователи не обязаны раскрывать сумму, которую они получили по Security Bounty. Возможно, рекорд Пикрена давно побит — просто мы об этом не знаем.

Другая история успеха
Почти ту же сумму получил индийский хакер Бхавук Джайн. Ошибка в системе авторизации на сторонних сайтах Sign In with Apple позволяла захватывать учётные записи пользователей по идентификаторам их электронной почты. Техногигант устранил ошибку и выплатил 100 000 долларов.

ENPv1ustvBM7v7ealKu6OmPZ2qE9qjtz0IWZgvT.png

Не всё гладко
Заметим, что не все получатели награды Apple Security Bounty рассказывают об этом публично. Скорее всего, дело в том, что у программы плохая репутация в отрасли. Например, найденные уязвимости не исправляются месяцами, а некоторым исследователям отказывают в вознаграждении.
 
Сверху Снизу