Siga o Olhar Digital no Google Discover
Um grupo de hackers passou três meses hackeando a Apple, descobrindo vulnerabilidades em seus sistemas e lucrando com o programa Security Bounty no processo. Esse programa oferece dinheiro para pessoas que encontrarem bugs nos sistemas da Apple, e os hackers se aproveitaram dele por três meses, recebendo quase US$ 300 mil.
Ofertas
Por: R$ 39,90
Por: R$ 678,90
Por: R$ 112,00
Por: R$ 2.359,00
Por: R$ 1.998,89
Por: R$ 2.498,89
Por: R$ 491,92
Por: R$ 129,90
Por: R$ 412,69
Por: R$ 592,00
Por: R$ 3.598,94
Por: R$ 369,00
Por: R$ 1.616,02
Por: R$ 3.099,00
Por: R$ 199,00
Por: R$ 166,19
Por: R$ 399,00
Por: R$ 132,00
Por: R$ 473,00
O grupo, formado por Bett Buerhaus, Sam Curry, Samuel Erb, Ben Sadeghipour e Tanner Barnes atacaram todos os pontos das estruturas da Apple ao longo desses três meses. No site de Curry, o grupo conta sobre seu trabalho.
“Durante nosso envolvimento, encontramos uma variedade de vulnerabilidades em partes centrais de sua infraestrutura que teriam permitido a um invasor comprometer totalmente os aplicativos de clientes e funcionários, lançar um worm capaz de assumir automaticamente o controle da conta iCloud da vítima, recuperar o código-fonte de projetos internos da Apple e assumir as sessões de funcionários da Apple com a capacidade de acessar ferramentas de gerenciamento e recursos sensíveis”, escreveram.
Os hackers afirmam ter encontrado 55 vulnerabilidades de gravidade variável, sendo algumas críticas e outras uma mistura de gravidade alta, média e baixa. Eles contam que a Apple resolveu a maior parte dos problemas rapidamente, entre um e dois dias úteis, alguns até em poucas horas.
Have just sent a blog post to a security team to review for publication and am super excited about it. The draft PDF is 53 pages long and is the result of 3 months of work alongside @bbuerhaus, @NahamSec, @erbbysam, and @_StaticFlow_. Hoping to publish it by the end of the week!
— Sam Curry (@samwcyo) October 5, 2020
A equipe passou a lucrar com programa depois de perceber que ele se estende além dos produtos físicos da Apple, englobando também seus ativos web e sua infraestrutura. “Isso chamou minha atenção como uma oportunidade interessante para investigar um novo programa que parecia ter um amplo escopo e funcionalidades divertidas”, disse Curry. “Na época, eu nunca havia trabalhado no programa de recompensas de bug da Apple, então não tinha realmente nenhuma ideia do que esperar, mas decidi tentar a sorte e ver o que poderia encontrar”.
Em seu site, Curry apresenta muitos detalhes sobre várias vulnerabilidades e estratégias para encontrar e atacar pontos fracos. Em suma, a equipe recebeu US$ 288.500 em recompensas da Apple (valor atualizado pelo próprio Curry após a publicação da matéria) pelas vulnerabilidades encontradas e reportadas.
Within the article I’d mentioned that Apple had not yet paid for all of the vulnerabilities. Right after publishing it, they went ahead and paid for 28 more of the issues making the running total $288,500: pic.twitter.com/WtOfndu298
— Sam Curry (@samwcyo) October 8, 2020
Em entrevista ao site iMore, Curry disse que, embora a equipe tenha recebido pagamentos pelas falhas encontradas, eles esperam lucrar ainda mais, com outros pontos que atendem aos critérios especificados na página do programa de recompensas da Apple.
“O programa de recompensa por bug da Apple faz um ótimo trabalho encorajando a divulgação responsável, trabalhando ativamente com pesquisadores de segurança bem-intencionados”, elogiou Curry. “Programas como o da Apple incentivam bons atores e criam uma ponte entre organizações e hackers”.
Essa notícia mostra o sucesso do programa de recompensas da Apple, que ajuda os desenvolvedores a identificar problemas no ecossistema Apple antes que eles se tornem algo ruim para os usuários.
Via: iMore
Tags: