NAK NEK hackerek csoportja közel 300 000 dollárral jutalmazta az Apple, mert 55 sérülékenységet fedezett fel a cég rendszereiben.
az iPhone 7 újdonságai
Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb és Tanner Barnes három hónapot töltött Apple platformok és szolgáltatások feltörésével, hogy számos gyengeséget fedezzenek fel. A csapat által felfedezett 55 sebezhetőség különböző súlyosságú volt, és néhány kritikus volt.
Elköteleződésünk során számos sebezhetőséget találtunk infrastruktúrájuk alapvető részein, amelyek lehetővé tették volna a támadók számára, hogy teljes mértékben feltörhessék mind az ügyfelek, mind az alkalmazottak alkalmazásait, elindítsanak egy férget, amely képes automatikusan átvenni az áldozat iCloud-fiókját, lekérni a belső forráskódot. Az Apple projektjei teljes mértékben kompromittálják az Apple által használt ipari vezérlőraktár-szoftvert, és átveszik az Apple alkalmazottainak munkameneteit, és hozzáférhetnek a felügyeleti eszközökhöz és érzékeny erőforrásokhoz.
Az Apple láthatóan gyorsan kezelte a sebezhetőségek többségét, néhányat pedig néhány óra alatt sikerült megoldani.
Összességében az Apple nagyon reagált a jelentéseinkre. A kritikusabb jelentéseink esetében mindössze négy óra telt el a benyújtás és a kárelhárítás között.
Az Apple részeként Security Bounty program , a csoport munkájuk egy részéért jelentős fizetést kapott. Október 4-én, vasárnapig négy kifizetést kaptak összesen 51 500 dollár értékben. Ez 5000 dollárt tartalmazott az iCloud-felhasználók teljes nevének nyilvánosságra hozataláért, 6000 dollár az IDOR sebezhetőségeinek feltárásáért, 6500 dollár a belső vállalati környezetekhez való hozzáférésért és 34 ezer dollár az ügyféladatokat tartalmazó rendszermemória-szivárgások felfedezéséért.
Mivel senki sem tudott sokat a bug bounty programjukról, ilyen nagy időbefektetéssel nagyjából ismeretlen területre mentünk. Az Apple-nek érdekes múltja van a biztonsági kutatókkal való együttműködésben, de úgy tűnik, hogy a sebezhetőség feltárására irányuló programjuk hatalmas lépést jelent a helyes irányba a hackerekkel való együttműködés felé az eszközök biztosításában, és lehetővé teszi az érdeklődők számára, hogy megtalálják és jelentsék a sebezhetőséget.
Az Apple tavaly óta aktívan fektet be a bug bounty programjába. A biztonsági kutatók mostantól akár sérülékenységenként egymillió dollár a biztonsági hiba jellegétől és súlyosságától függően.
van az Apple-nek bankkártyája
Az Apple biztonsági csapatának engedélyével a csoport közzétett egy kiterjedt jelentés amely részletezi a sebezhetőségek sorát és a gyenge pontok felkutatásának és kihasználásának módszereit. Arra is utaltak, hogy további jutalmak várhatók.
Frissítés október 9 : A közzététel időpontjában a csoport arról számolt be, hogy 51 500 dollár jutalmat kapott az Apple-től négy, általa benyújtott sebezhetőségi jelentésért. A csoport most azt állítja, hogy 32 kifizetést kapott az Apple-től összesen 288 500 dollár értékben.
Címkék: Apple security , hack , bug bounty
Népszerű Bejegyzések