«Лаборатория Касперского» рассказала, что Apple не заплатила ей за найденные уязвимости по программе bug bounty

Выплата могла составить до $1 млн.

  • «Лаборатории Касперского» рассказала RTVi, что Apple отказала в выплате bug bounty, сославшись на внутреннюю политику. Когда американская компания сообщила об этом, не уточняется.

Мы нашли zero-day, zero-click уязвимости, передали всю информацию Apple, сделали полезное дело. По сути своей, мы зарепортили им уязвимость, за которую они должны заплатить bug bounty. Нам это вознаграждение не нужно, но есть практика такие выплаты от больших компаний передавать на благотворительность. Apple отказала нам в выплате, даже в пользу благотворительной организации, сославшись на внутреннюю политику, без объяснения.

Дмитрий Галов, руководитель исследовательского центра «Лаборатории Касперского»
  • Компания в 2023 году нашла уязвимости в iOS, которые позволяли поставить шпионский модуль на любой iPhone, отправив сообщение в iMessage.
  • Через две недели после публикации Apple выпустила обновления для iOS и сообщила, что уязвимости CVE-2023-32434 и CVE-2023-32435 представляли угрозу для версий iOS до 15.7, а также поблагодарила четырёх сотрудников «Лаборатории Касперского», обнаруживших ошибки.
  • По данным на сайте Apple Security Bounty, вознаграждение за находку такого рода уязвимостей может составлять до $1 млн.
  • «Лаборатория Касперского» не находится под санкциями США или ЕС, но в марте 2022 года Федеральная комиссия по связи США внесла компанию в список юрлиц, «угрожающих национальной безопасности страны».
2424
85 комментариев