Очередной скандал вокруг корпорации
Apple.
Вчера исследователь
Тим Карри опубликовал в своем
блоге историю того, как он и еще четверо этичных хакеров в течение трех месяцев искали уязвимости в инфраструктуре
Apple в рамках программы
Apple bug bounty.
Всего было обнаружено 55 уязвимостей, 11 из которых оказались критичными. Их эксплуатация позволила бы хакерам полностью скомпрометировать клиентские приложения, внедрять червя, захватывающего
iCloud жертвы, воровать исходники внутренних проектов
Apple, перехватывать сеансы сотрудников
Apple с возможностью доступа к инструментам управления и внутренним ресурсам и т.д.
Предоставленный
Карри материал весьма объемен (вы можете подробнее изучить его по приведенной ссылке, это интересно), но заканчивает он свое повествование вроде бы положительным финалом - об уязвимостях сообщили
Apple, которые их исправили (некоторые критичные уязвимости были устранены в течение 4 часов), исследователи получили 55 с половиной тысяч долларов в качестве вознаграждения. Так и хочется воскликнуть - "Мы счастливы!" (с)
Однако у инфосек сообщества тут же пригорело. Все дело в том, что сумма в 55 тысяч долларов команде из 5 человек, которые работали 3 месяца и нашли 55 уязвимостей, из которых 11 критичных, - это, извините, насмешка над самим понятием bug bounty. Такую сумму какой-нибудь из топ-менеджеров
Apple тратит за месяц на винишко.
Apple тут же окрестили "дешевыми ублюдками" (и это еще не самое грубое) и высказали мнение, что им надо больше денег перераспределять в сторону информационной безопасности. Мы, как вы сами понимаете, с этим полностью согласны, поскольку выражение "информационная безопасность за мелкий прайс" - одно из наших любимых, характеризующих отношение к инфосеку в крупных корпорациях.
Тут уже пригорело у
Apple, они настучали
Карри по голове и тот исправил сумму вознаграждения на 288 тысяч долларов и сказал, что видимо оплата будет больше, поскольку "похоже,
Apple производит платежи поэтапно". Это, конечно, лол.
Тот самый случай, когда проблемы инфосека решить не могут, но на негативный информационный повод реагируют молниеносно. И пока PR будет в приоритете перед ИБ - ситуация будет все хуже и хуже.
