Apple вводить програму винагороди за виявлення вразливостей в своїх продуктах



Багато компаній, що працюють в ІТ-сфері, пропонують винагороду тим користувачам, які змогли виявити які-небудь небезпечні баги в продукції цих компаній. За останні п'ять років bug bounty програми ввели десятки, якщо не сотні компаній. Для них набагато вигідніше вдатися до краудсорсінгу, сплативши певну суму за знайдену стороннім спеціалістом вразливість, ніж пропустити проблему і поплатитися витоком даних і компрометацією своїх серверів. В цьому випадку збитки можуть бути величезними.

Всі ці роки корпорація Apple не вводила власну bug bounty програму. Компанія відмовлялася виплачувати винагороду тим користувачам, хто знаходив уразливість в її продукції і повідомляв про проблему. Але сьогодні все змінилося. Айван Крстіч (Ivan Krstic), глава з інженерної безпеки і архітектурі Apple анонсувала на конференції Black Hat власну bug bounty програму Apple. Максимальна сума винагороди для фахівців, які повідомили про уразливості, складе $200 000.

apple's Ivan Krstić at #BlackHat2016 announces the new bug bounty program, with impressive payouts. pic.twitter.com/KpJ7dTjK02  Neil Rubenking (@neiljrubenking) 4 серпня 2016 р.

Програма буде запущена з вересня. На першому етапі винагорода виплачуватиметься тільки фахівцям, з якими корпорація вже працювала раніше. Крстіч пояснив це тим, що у разі запуску програми для всіх компанію просто завалять інформацією про самих різних проблемах, як явних, так і помилкові. І в цьому інформаційному потоці можна пропустити дійсно важливе повідомлення. Надалі Apple буде працювати з усіма фахівцями з інформаційної безпеки, які бажають співпрацювати.

Крстіч — перший представник Apple, який виступив на конференції Black Hat за чотири роки. Зазвичай корпорація повідомляла які-небудь подробиці, що мають відношення до безпеки своїх продуктів та сервісів на власній конференції WWDC. «У Apple були досить складні відносини зі сторонніми фахівцями. Але за останні 10 років ситуація змінилася», — заявив Айван Крстіч.

$200 000 — досить велика сума, у ряду компаній винагороду куди менше. Але це далеко не рекорд. ФБР виплатила за злом телефону «стрілка з Сан-Бернардіно» мільйон доларів США.

Раніше уразливості в сервісах і програмних продуктах компанії шукали власні співробітники Apple. Але після низки звітів відділу інформаційної безпеки керівництво корпорації прийняло рішення скористатися послугами сторонніх фахівців. За словами Крстіча, з плином часу власним співробітникам стає все складніше шукати вразливість.

У рамках програми пропонується кілька категорій вразливостей, за виявлення яких пропонується винагорода. Звіт про знайдену проблеми буде оцінюватися за кількома критеріями, включаючи ясність опису проблеми, її новизна, критичність уразливості.

Якщо фахівець, який вирішив допомогти компанії, заявить про намір відправити винагороду на благодійні цілі, сума виплат може бути збільшена вдвічі.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.