に ハッカーのグループ Appleは、同社のシステムに55の脆弱性を発見したことで、約300,000ドルを授与されました。
なぜ私の両方のエアポッドが接続しないのですか
Sam Curry、Brett Buerhaus、Ben Sadeghipour、Samuel Erb、Tanner Barnesは、さまざまな弱点を発見するために3か月かけてAppleのプラットフォームとサービスをハッキングしました。チームが発見した55の脆弱性はさまざまな重大度であり、いくつかは重大でした。
エンゲージメント中に、攻撃者が顧客と従業員の両方のアプリケーションを完全に侵害し、被害者のiCloudアカウントを自動的に乗っ取ることができるワームを起動し、内部のソースコードを取得することを可能にする、インフラストラクチャのコア部分にさまざまな脆弱性を発見しましたAppleはプロジェクトを行い、Appleが使用する産業用制御ウェアハウスソフトウェアを完全に侵害し、管理ツールと機密リソースにアクセスする機能を備えたApple従業員のセッションを引き継ぎます。
Appleは明らかに、脆弱性の大部分に迅速に対処し、一部はわずか数時間で解決されました。
全体として、Appleは私たちの報告に非常に敏感でした。より重要なレポートの提出から修正までの期間はわずか4時間でした。
Appleの一部として セキュリティ報奨金プログラム 、グループは彼らの仕事のいくつかに対してかなりの支払いを受け取ることができました。 10月4日日曜日の時点で、彼らは合計51,500ドルの4回の支払いを受け取っていました。これには、iCloudユーザーのフルネームを開示するための5,000ドル、IDORの脆弱性を見つけるための6,000ドル、社内環境へのアクセスのための6,500ドル、顧客データを含むシステムメモリリークの発見のための34,000ドルが含まれます。
誰も彼らのバグバウンティプログラムについて本当によく知らなかったので、私たちはそのような多大な時間の投資でほとんど未開拓の領域に入っていました。 Appleはセキュリティ研究者と協力して興味深い歴史を持っていますが、彼らの脆弱性開示プログラムは、資産を保護し、関心のある人々が脆弱性を見つけて報告できるようにするためにハッカーと協力する正しい方向への大きな一歩であるようです。
Appleは昨年からバグバウンティプログラムに積極的に投資してきました。セキュリティ研究者は現在、最大で受け取ることができます 脆弱性ごとに100万ドル セキュリティ上の欠陥の性質と重大度によって異なります。
iPhoneにGCを残す方法
Appleのセキュリティチームの許可を得て、グループは 広範なレポート これは、さまざまな脆弱性と、弱点を見つけて悪用する方法を詳しく説明しています。彼らはまた、追加の報奨金が途上にあるかもしれないことをほのめかしました。
10月9日更新 :公開の時点で、グループは、提出した4つの脆弱性レポートに対してAppleから51,500ドルの報奨金を受け取ったと報告しました。このグループは現在、Appleから合計$ 288,500の32回の支払いを受けたと述べています。
タグ:アップルのセキュリティ、ハッキング、バグバウンティ
人気の投稿