Um grupo de hackers passou três meses invadindo a Apple, descobrindo vulnerabilidades em seus sistemas e se beneficiando do programa Security Bounty no processo. Este programa oferece dinheiro para pessoas que encontram bugs nos sistemas da Apple, e os hackers aproveitaram-se disso por três meses, ganhando quase US $ 300.000.
O grupo, formado por Bett Buerhaus, Sam Curry, Samuel Erb, Ben Sadeghipour e Tanner Barnes, atacou todos os pontos das estruturas da Apple durante esses três meses. No Site de curry, o grupo conta seu trabalho.
“Durante nosso envolvimento, encontramos uma variedade de vulnerabilidades em partes centrais de sua infraestrutura que teriam permitido a um invasor comprometer completamente os aplicativos de clientes e funcionários, lançar um worm capaz de assumir automaticamente o controle da conta iCloud da vítima e recupere o código-fonte de projetos internos da Apple e assuma sessões de funcionários da Apple com a capacidade de acessar ferramentas e recursos de administração confidenciais “, escreveram eles.
Os hackers afirmam ter encontrado 55 vulnerabilidades de severidade variada, algumas críticas e outras uma mistura de severidade alta, média e baixa. Eles dizem que a Apple resolveu a maioria dos problemas rapidamente, em um ou dois dias úteis, alguns até em poucas horas.
Acabei de enviar uma postagem no blog para uma equipe de segurança revisar para publicação e estou muito animado com isso. O rascunho do PDF tem 53 páginas e é o resultado de 3 meses de trabalho conjunto @bbuerhaus, @NahamSec, @erbbysamY @_StaticFlow_. Espero publicá-lo antes do fim de semana!
– Sam Curry (@samwcyo) 5 de outubro de 2020
A equipe começou a se beneficiar do programa depois de perceber que ele se estende além dos produtos físicos da Apple e também abrange seus ativos e infraestrutura web. “Isso chamou minha atenção como uma oportunidade interessante de pesquisar um novo programa que parecia ter um amplo escopo e recursos divertidos”, disse Curry. “Na época, eu nunca havia trabalhado no programa de recompensa de insetos da Apple, então realmente não tinha ideia do que esperar, mas decidi tentar a sorte e ver o que poderia encontrar.”
Em seu site, Curry apresenta muitos detalhes sobre várias vulnerabilidades e estratégias para encontrar e atacar pontos fracos. Em resumo, a equipe recebeu $ 288.500 em recompensas da Apple (valor atualizado pelo próprio Curry depois que a história foi publicada) pelas vulnerabilidades encontradas e relatadas.
No artigo, mencionei que a Apple ainda não havia pago por todas as vulnerabilidades. Imediatamente após postá-lo, eles foram em frente e pagaram mais 28 edições, elevando o total atual para $ 288.500: pic.twitter.com/WtOfndu298
– Sam Curry (@samwcyo) 8 de outubro de 2020
Em entrevista ao site Eu maisCurry disse que embora a equipe tenha recebido pagamentos pelas falhas encontradas, espera lucrar ainda mais, com outros pontos atendendo aos critérios especificados no Página do programa de recompensas da Apple.
“O programa de recompensa de bugs da Apple faz um ótimo trabalho ao encorajar a divulgação responsável, trabalhando ativamente com pesquisadores de segurança bem-intencionados”, elogiou Curry. “Programas como o da Apple encorajam bons atores e fazem a ponte entre as organizações e os hackers.”
Esta notícia mostra o sucesso do programa de recompensas da Apple, que ajuda os desenvolvedores a identificar problemas no ecossistema da Apple antes que se tornem ruins para os usuários.
Através da: Eu mais
