Apple i-a umplut de bani: de ce au fost răsplătiți acești oameni de gigantul american

de: Ozana Mazilu
23 10. 2020

Un grup de hackeri a petrecut luni de zile vizând infrastructura online extinsă a Apple și a găsit o serie de vulnerabilități. Inclusiv una care ar fi permis hackerilor să fure fișiere din conturile iCloud ale oamenilor.

Aceștia funcționau ca hackeri cu „pălărie albă”, adică scopul lor era să alerteze Apple cu privire la vulnerabilități, mai degrabă decât să fure informații. Echipa a fost condusă de Sam Curry, în vârstă de 20 de ani, care a lucrat alături de Brett Buerhaus, Ben Sadeghipour, Samuel Erb și Tanner Barnes.

„Nu lucrasem niciodată la programul de recompense pentru bug-uri Apple, așa că nu prea aveam idee la ce să mă aștept, dar am decis să-mi încerc norocul și să văd ce aș putea găsi”, a spus Curry într-o postare pe blog. „Chiar dacă nu a existat nicio garanție în ceea ce privește plățile și nicio înțelegere a modului în care a funcționat programul, toată lumea a fost de acord și am început să facem hacking pe Apple”.

Apple a plătit grupului până acum 288.500 de dolari prin programul său de recompensare a bug-urilor, în schimbul dezvăluirii a 55 de vulnerabilități, dintre care 11 au fost etichetate drept „severe”. Curry a spus că, odată ce Apple procesează și recompensează toate erorile raportate de grup, plata lor totală poate depăși 500.000 de dolari.

Una dintre cele mai flagrante vulnerabilități descoperite de grup ar fi permis hackerilor să construiască un “vierme” care fură fișierele iCloud ale oamenilor, înainte de a infecta conturile iCloud ale contactelor lor. Vulnerabilitatea depinde de faptul că Apple Mail este acceptat de iCloud. Hackerii au reușit astfel să compromită conturile iCloud după ce au trimis un e-mail la o adresă iCloud.com care conținea coduri rău intenționate.

Apple a reparat toate vulnerabilitățile la scurt timp după ce au fost raportate de hackeri

În procesul de căutare a erorilor, Curry și echipa sa au câștigat o perspectivă asupra scării masive a infrastructurii online Apple. Cercetătorii au descoperit că Apple deține peste 25.000 de servere web, care intră sub Apple.com, iCloud.com și peste 7.000 de alte domenii unice. Multe dintre vulnerabilități au fost descoperite prin căutarea prin serverele web obscure deținute de Apple, cum ar fi site-ul său Distinguished Educators.

Experții în securitate cibernetică care au analizat cercetarea echipei Curry au spus că, deși unele dintre vulnerabilitățile severe erau îngrijorătoare, acestea reflectau provocările inerente care sunt așteptate pentru o companie care întreține o infrastructură online atât de mare.

„Densitatea problemelor identificate în vasta prezență online a Apple este, de fapt, o dovadă mai mare a cât de dificil este să păstrezi toate problemele de securitate pe măsură ce organizațiile cresc, decât o reflectare negativă a oricăror practici de securitate din cadrul Apple”, a delcarat Tim Mackey, principalul strateg de securitate al Centrului de Cercetare Cybersecurity Synopsys, pentru Business Insider.

Într-o declarație adresată Business Insider, Apple a declarat că apreciază munca hackerilor, adăugând că vulnerabilitățile au fost reparate și că nu există dovezi că ar fi exploatate de indivizi rău intenționați.

„La Apple, ne protejăm cu atenție rețelele și avem echipe dedicate de profesioniști în securitatea informațiilor care lucrează pentru a detecta și răspunde la amenințări. De îndată ce echipa ne-a alertat asupra problemelor pe care le detaliază în raportul lor, am remediat imediat vulnerabilitățile și am luat măsuri pentru a preveni viitoarele probleme de acest gen”, a spus purtătorul de cuvânt al Apple. „Apreciem colaborarea noastră cu cercetătorii în domeniul securității pentru a ne menține utilizatorii în siguranță și am creditat echipa pentru asistența lor și îi vom recompensa din programul Apple Security Bounty”.