- Apple удвоила максимальные выплаты по программе поиска уязвимостей Apple Security Bounty — до 2 млн долларов.
- Размер вознаграждений за различные типы атак существенно увеличен, например, за атаки с нулевым кликом до 2 млн долларов, за беспроводные атаки — до 1 млн долларов.
- С момента запуска программы в 2020 году компания выплатила более 35 млн долларов более чем 800 специалистам по кибербезопасности.
Компания Apple объявила о значительном расширении и повышении максимальных выплат в рамках программы Apple Security Bounty, предназначенной для стимулирования поиска уязвимостей в её продуктах. Максимальное вознаграждение за выявление критически важных уязвимостей, таких как атаки с нулевым кликом (zero-click), теперь составляет до 2 миллионов долларов, что вдвое превышает прежний предел в 1 миллион долларов. Данная категория атак характеризуется тем, что злоумышленник может осуществить вредоносные действия без какого-либо взаимодействия с пользователем.
Кроме того, размер выплат за другие виды атак также существенно увеличен. Так, за обнаружение атак, при которых пользователю необходимо совершить всего один клик, компания будет выплачивать до 1 миллиона долларов, аналогично выросло вознаграждение за сообщения о беспроводных атаках, теперь оно составляет до 1 миллиона долларов. За выявление атак с необходимым физическим доступом к заблокированному устройству выпадет сумма до 500 тысяч долларов, а за помощь в обнаружении уязвимости с выходом за пределы «песочницы» – до 500 тысяч долларов, что значительно выше предыдущих уровней вознаграждений.
В числе других изменений Apple предусмотрела введение нового уровня вознаграждений – от 1 тысячи долларов за сообщения о незначительных уязвимостях до 100 тысяч долларов за обход механизма безопасности macOS Gatekeeper. Эти меры направлены на расширение охвата программы и повышение мотивации специалистов по информационной безопасности к активному поиску потенциальных проблем.
Запущенная в 2020 году программа Apple Security Bounty позволила компании выплатить свыше 35 миллионов долларов более чем 800 экспертам в области кибербезопасности. Обновление условий вознаграждений и расширение спектра оплачиваемых уязвимостей должно усилить взаимодействие с сообществом «белых хакеров» и помочь Apple гораздо быстрее обнаруживать и устранять критические проблемы в безопасности своих продуктов.
