Бесплатные деньги: Apple участвует в лотереях по поиску ошибок

Технологические компании нередко обращаются за помощью к внешним источникам для обеспечения безопасности. Одним из способов этого является программа вознаграждения за обнаружение ошибок, когда компания предлагает (обычно финансовое) вознаграждение лицам, обнаружившим уязвимости в системе безопасности или другие недостатки в своих продуктах. Но самая крупная технологическая компания из всех отсутствовала в лотереях по поиску ошибок. Ситуация изменилась, когда Apple представила свою программу вознаграждения за обнаружение ошибок на конференции Black Hat.

Программа Apple отличается от большинства других тем, что предполагает участие только по приглашению и предлагает вознаграждение до 200 000 долларов. Пока к участию в программе приглашены только 12 неназванных исследователей безопасности, но ожидается, что их число будет расти. Со временем программа Bug Bounty будет приглашать все больше и больше исследователей. Как заявил Иван Крстич, глава отдела безопасности и архитектуры Apple, в своей речи, посвященной Black Hat: «Сложность поиска большинства критических уязвимостей становится все больше и больше… мы хотим вознаграждать людей за их время и творческий подход, который они вкладывают». для поиска ошибок в этих категориях».

Причина эксклюзивности и ограниченного числа участников Apple bug bounty, скорее всего, связана с вовлеченными деньгами. Предлагаемые деньги намного больше, чем в среднем по отрасли для таких программ. А Как сообщает Dark Reading, максимальная выплата за обнаружение брешей в системе безопасности составляет 200 000 долларов, в то время как идентификация ошибки процессора Secure Enclave принесет обнаружившему 100 000 долларов. За выявление уязвимостей, позволяющих получить доступ к ядру или проникновение в iCloud, вознаграждение составляет 50 000 долларов. Наконец, «любая уязвимость, которая обеспечивает доступ из изолированного процесса к пользовательским данным за пределами песочницы», будет стоить 10 000 долларов.

Следует повторить, что эти платежи являются максимально возможными денежными величинами, а не реальными суммами, которые получит исследователь. Это зависит от того, насколько ценны данные для инженеров Apple по безопасности и насколько опасны уязвимости.