Apple извинилась перед пользователем «Хабра» — он нашёл четыре уязвимости в iOS, но за полгода компания исправила одну Статьи редакции
Компания не выплатила вознаграждение, и пользователь решил опубликовать данные в открытом доступе.
- Исследователь безопасности Денис Токарев 24 сентября опубликовал подробную информацию о трёх уязвимостях iPhone, а также исходный код, который может воспроизводить и использовать их.
- По его словам, в период с 10 марта по 4 мая он сообщал об уязвимостях Apple. Компания отвечала, что получила его сообщения и начала расследование. Обнаружение уязвимостей в рамках программы Apple Security Bounty оценивается в размере $100 тысяч, но компания так и не выплатила Токареву вознаграждение.
- Только после того, как Токарев обнародовал данные об ошибках, Apple связалась с ним, пишет Vice. В письме компания извинилась за задержку ответа и сообщила, что продолжает расследовать уязвимость.
- Всего исследователь обнаружил четыре уязвимости. Одну из них Apple уже исправила, она давала доступ к медицинской информации и данным об использовании устройства. А остальные могли открыть доступ к полному имени, контактам и проверить, установлено ли то или иное приложение.
23
показа
26K
открытий
1
репост
Ну красавчик же - Денис Токарев. И неважно, что это Apple. За слова нужно отвечать при любом раскладе. Отдайте пацану его 400к $, негодяи, он их заработал, сделав, за Вас, Вашу же работу.
Судя по тому, что он нашел, назвать это уязвимостями нельзя. Полагаю, что яблочники дают бабло за уязвимости, дающие получить рута как максимум или хоть доступ к полному управление учеткой пользователя.
Лайкнул твой коммент, чтобы @Tim Cook прочитал его, когда в след.раз зайдёт на VC – он по утрам тут обычно за завтраком зависает.
за что деньги ? За то что он спалил 4 бекдора АНБ из которых только 1му смогли сделать замену.
Как бы не признали «иностранным агентом» при получении.
И деньги не выплатит, сославшись на то, что уязвимости опубликовали в общий доступ…
«Денис, финдир уже вот буквально после обеда собирался подписать вашу платежку, но из-за публикации все аннулируем»
Опубликовал он их, чтобы Apple, наконец, прореагировала — ровно так и получилось.
Из оригинального поста:
«В соответствии с responsible disclosure policy, Google Project Zero раскрывает уязвимости через 90 дней после уведомления вендора, ZDI — через 120, независимо от того, исправлена уязвимость или нет. Я же выждал намного больше (до полугода) и 10 дней назад предупредил Apple, о том, скоро буду вынужден публично раскрыть эти уязвимости. Ответа не последовало, поэтому я решил написать эту статью»
Как вариант, могут сказать, что найденные уязвимости вовсе не "уязвимости".
Думаю, найдут на что сослаться, чтобы заплатить меньше или не платить совсем
В следующий раз кто-то продаст уязвимости более платежеспособным людям.
Судя по описанию - много за такое не дадут
Мир в очередной раз обнаружил главную уязвимость Apple — жадность
Все техно-гиганты жадные, просто apple стал наглее)
Возможно Эппл их оставила для своих целей и продажи бэкдора для партнёров, а тут с Хабра тип их находить )))
После прочтения такое ощущение как будто меня нае*али, ажтрисет
Так бабки выплатила или нет ?
По ходу, теперь выплатят, а парень, и правда, красавчик! Не понимаю, почему Эпл так затянули и не реагировали как положено на письма.
Если выплатят, я сообщу. Но шансы близки к нулю. Если бы у меня была уверенность, что рано или поздно мне заплатят, я бы не стал вообще что-либо публиковать
Если бы выплатили, об этом был бы заголовок
Извинения на хлеб не намажешь, как говорится. Это все слова и пустая болтовня со стороны яблочников. Где реальные дела?
немного не в тему, но вопрос из реальности:
а эти bug bounty выплаты будут проходить как нарушение 113-ФЗ ?)
почему про это никто никогда не напишет?
вот как 100к баксов получить на карту сбера например?) как такие вопросы решаются
Скорее всего подписывается договор об оказании услуг \ консалтинге в рамках которого выплачивается вознаграждение. Эппл тоже не может "просто так" отправить 100к на какой то счет и списать это в расходы - в бухгалтерии с их стороны тоже должно быть основание такого платежа.
Обладая договором и внятной причиной платежа не вижу причин почему 100к не могу придти на счет в условный сбер или любой другой банк.
Для получения выплат нужен аккаунт разработчика, Apple на него закидывает деньги, соответственно выплаты ничем не отличаются от выплат продаж в App Store, можно получать сразу на рублевый счет, минуя валютный контроль
так такие деньги не в сбербанк приходят)
Комментарий удален модератором
.
Комментарий удален модератором
Комментарий удален модератором
Как тут любят писать - видимо у него просто телефон на андроид.
знаем для чего Apple оставляет уязвимости и передаём привет спец.агенту Джонсу который читает наши сообщения :)
Комментарий недоступен
Если бы они мое письмо с вопросами "просто потерялось", тогда в письме, которое они прислали в ответ на него, содержались бы ответы. А раз они продолжают игнорировать мои вопросы, это еще один показатель того, что меня просто решили кинуть, и никаких выплат бы не было в любом случае. Я не первый, с кем они так поступают. Но обычно люди до последнего надеются, что получат деньги, поэтому молчат и публикуют гневные посты, только когда в итоге получают официальный отказ или прождав несколько лет и так и не получив ответа. Но их посты не наносят достаточного ущерба репутации Apple, потому что уязвимости давно исправлены, и юзерам все равно.
Комментарий удален модератором
У них времени нет, надо новые айфоны пилить
Так тема известная - вон пишут что всего 32% от найденных уязвимостей они исправляют регулярно, остальное как повезет - https://securitymedia.org/news/eksperty-ustanovili-kak-chasto-razrabotchiki-publikuyut-uyazvimyy-kod.html