ハッカーが Apple の 55 件の脆弱性を発見、30 万ドル近くの報奨金を獲得 [更新]

Apple のシステムにある 55 件の脆弱性を発見した ハッカーグループ に、Apple から 30 万ドル近い賞金が与えられました。

Sam Curry、Brett Buerhaus、Ben Sadeghipour、Samuel Erb、Tanner Barnes は 3 か月かけて Apple のプラットフォームとサービスをハッキングし、さまざまな弱点を発見しました。チームが発見した 55 件の脆弱性の重大度はさまざまで、中には重大なものもありました。

私たちの取り組み中に、攻撃者が顧客と従業員の両方のアプリケーションを完全に侵害し、被害者の iCloud アカウントを自動的に乗っ取ることができるワームを起動し、内部のソース コードを取得することを可能にするインフラストラクチャのコア部分にさまざまな脆弱性を発見しました。 Apple は、Apple が使用する産業用制御ウェアハウス ソフトウェアを完全に侵害し、管理ツールや機密リソースにアクセスできるように Apple 従業員のセッションを乗っ取ることを計画しています。

Apple は脆弱性の大部分に迅速に対処したようで、一部の脆弱性はわずか数時間で解決されました。

全体として、Apple は私たちの報告に対して非常に反応が良かったです。より重要なレポートの提出から修正までの所要時間はわずか 4 時間でした。

Apple の セキュリティ報奨金プログラム の一環として、このグループは一部の仕事に対して多額の支払いを受け取ることができました。 10月4日日曜日の時点で、彼らは4回、合計51,500ドルの支払いを受け取っていた。これには、 iCloud ユーザーのフルネームの開示に 5,000 ドル、IDOR の脆弱性の発見に 6,000 ドル、企業内部環境へのアクセスに 6,500 ドル、顧客データを含むシステム メモリ リークの発見に 34,000 ドルが含まれます。

誰も彼らのバグ報奨金プログラムについて詳しく知らなかったので、私たちはこれほど多額の時間を投資して、ほとんど未知の領域に踏み込むことになりました。 Apple にはセキュリティ研究者と協力してきた興味深い歴史がありますが、同社の脆弱性公開プログラムは、ハッカーと協力して資産を保護し、関心のある人が脆弱性を見つけて報告できるようにする正しい方向への大きな一歩であるようです。

Apple は昨年からバグ報奨金プログラムに 積極的に投資 しています。セキュリティ研究者は現在、セキュリティ上の欠陥の性質と深刻度に応じて 、脆弱性 1 つにつき最大 100 万ドル を受け取ることができます。

Apple のセキュリティ チームの許可を得て、同グループはさまざまな脆弱性と、弱点を特定して悪用する方法を詳しく説明した 広範なレポート を公開しました。彼らはまた、追加の報奨金が準備されている可能性があることを示唆しました。

10 月 9 日の更新 : 公開時点で、このグループは提出した 4 つの脆弱性レポートに対して Apple から 51,500 ドルの報奨金を受け取ったと報告しました。同団体は現在、Appleから32回、総額28万8500ドルの支払いを受けていると発表している。