Apple извинилась перед пользователем «Хабра», который обнаружил уязвимости в iOS. Компания «всё ещё изучает» их
Пользователь опубликовал данные об уязвимостях в открытом доступе, поскольку компания не выплатила ему вознаграждение.
Пользователю «Хабра» под ником illusionofchaos пришло письмо от Apple с извинениями после публикации данных о четырёх уязвимостях в открытом доступе. Он решил поступить так, потому что компания не устранила три из них и не выплатила награду по программе Apple Security Bounty.
Как сообщает Vice, пользователя зовут Денис Токарев. Он предоставил изданию письмо Apple. После этого редакция проверила сообщение – оно действительно отправлено с серверов, которые принадлежат компании.
Мы видели ваше сообщение в блоге по этому вопросу и другие ваши отчёты. Мы приносим извинения за задержку с ответом.
Хотим сообщить вам, что мы всё ещё изучаем эти проблемы и то, как мы можем решить их для защиты клиентов. Ещё раз спасибо, что нашли время сообщить нам об этих проблемах, мы ценим вашу помощь. Пожалуйста, напишите нам, если у вас есть какие-либо вопросы.
Уязвимости, обнаруженные пользователем, работают через private api. Они позволяют получить информацию о владельце устройства и его контактах, проверить, какие приложения установлены и узнать о Wi-Fi-подключении.
На странице программы Apple Security Bounty вознаграждение за обнаружение этих ошибок оценивается в 100 тысяч долларов. Однако Apple не выплатила деньги Токареву.
Исследователь из SecureMac Николас Птачек заявил, что «более серьёзное отношение» компании к уязвимостям, выявленным Токаревым, — «лишь реакция на плохие характеристики в прессе, чем что-либо ещё». Другой эксперт по кибербезопасности Кэти Муссурис также сказала, что игнорировать пользователей и не выплачивать им вознаграждения за найденные ошибки — «ненормально и не должно считаться нормальным».
Система вознаграждения за ошибки — это сад. Вы должны поддерживать его, чтобы хоть он работал. Вы должны избавиться от нежелательных и ненужных задержек в вашем процессе, потому что они похожи на сорняки, они занимают время и берут на себя ресурсы.