[ad_1]
Apple a mis en place un programme de primes aux bogues, y compris un programme public lancé l’année dernière. Cela signifie qu’Apple versera de l’argent aux individus et aux groupes qui découvrent des vulnérabilités dans ses logiciels, d’iOS à macOS.
C’est ce qu’a fait un petit groupe de pirates informatiques, gagnant plus de 50000 dollars pour leur travail sur trois mois. Le groupe comprend Sam Curry, Ben Sadeghipour, Samuel Erb, Tanner Barnes et Brett Buerhaus. Avec l’autorisation de l’équipe de sécurité d’Apple, Curry a pu publier un article de blog détaillant les vulnérabilités découvertes, dont 55 découvertes à ce jour.
Tout d’abord, comme l’a noté Curry dans le billet de blog, la majorité des problèmes découverts par les pirates informatiques ont été corrigés par Apple à partir de cette semaine.
Au cours de notre engagement, nous avons découvert une variété de vulnérabilités dans les parties principales de leur infrastructure qui auraient permis à un attaquant de compromettre complètement les applications des clients et des employés, de lancer un ver capable de prendre automatiquement le contrôle du compte iCloud d’une victime, de récupérer le code source pour Les projets Apple, compromettent totalement un logiciel d’entrepôt de contrôle industriel utilisé par Apple, et reprennent les sessions des employés d’Apple avec la capacité d’accéder aux outils de gestion et aux ressources sensibles.
Au total, 55 vulnérabilités ont été découvertes avec 11 rapports de gravité critique, 29 de gravité élevée, 13 de gravité moyenne et 2 rapports de gravité faible. Ces niveaux de gravité ont été évalués par nous à des fins de synthèse et dépendent d’une combinaison de CVSS et de notre compréhension de l’impact lié à l’activité.
Au 6 octobre 2020, la grande majorité de ces résultats ont été corrigés et crédités. Ils ont généralement été corrigés dans un délai de 1 à 2 jours ouvrables (certains étant réparés en aussi peu que 4 à 6 heures).
En ce qui concerne l’argent gagné, ce n’est pas un paiement terrible. Le groupe de hackers a gagné 51 500 $ au total, au cours de trois mois et quatre paiements. Selon Curry, le groupe a gagné 5 000 $ pour avoir été en mesure de déterminer le nom complet des utilisateurs d’iCloud, et 6 000 $ supplémentaires pour la découverte des vulnérabilités IDOR. Le paiement le plus important pour le groupe a été de 34 000 $ pour la découverte de fuites de mémoire système comprenant des données client.
L’année dernière, Apple a augmenté les paiements pour son programme de primes aux bogues, tout en déployant le programme pour macOS. À l’époque, il avait été noté que les pirates pouvaient obtenir jusqu’à 1 million de dollars pour découvrir certaines vulnérabilités, en fonction de leur gravité.
Vous pouvez consulter la répartition complète des vulnérabilités découvertes par Curry sur son blog.
[ad_2]
Poster un Commentaire