Em seu histórico, a Apple sempre se recusou a pagar por falhas de segurança em seus sistemas. Mas agora isso mudou. O chefe de engenharia de segurança e arquitetura da gigante de tecnologia, Ivan Krstic, anunciou essa semana que a Apple começará a oferecer recompensas em dinheiro de até US$ 200 mil para quem descobrir vulnerabilidades em seus produtos – um dos maiores valores oferecidos pela indústria.
No passado, a Apple citou governos e mercados negros como razão para não entrar no negócio de recompensas. O FBI, por exemplo, teria pago cerca de US$ 1 milhão para quem conseguisse invadir um iPhone usado pelo atirador de San Bernardino em dezembro passado.
Segundo a Apple, a descoberta de vulnerabilidades está cada vez mais difícil para profissionais da própria empresa, muito em função do fortalecimento dos sistemas da companhia, e, por isso, a ideia agora de abrir a iniciativa para pesquisadores.
“Se uma empresa lança um programa de bugs, ela já nocauteou todas as possibilidades internas”, opina Alex Arroz, cofundador do programa de recompensas de bug HackerOne.
O programa de recompensas de bugs da Apple será direcionado apenas para convidados da Apple, especialmente para pesquisadores que já fizeram valiosas divulgações de vulnerabilidades para a empresa. No entanto, a Apple não vai se afastar de novos pesquisadores se eles fornecem informações úteis.
O programa será lançado em setembro com cinco categorias de risco e recompensa:
• Vulnerabilidades em componentes de firmware: até US$ 200 mil
• Vulnerabilidades que permitem extração de material confidencial do Enclave: até US$ 100 mil
• Execuções de códigos maliciosos ou arbitrários com privilégios do kernel: até US$ 50 mil
• Acesso a dados da conta do iCloud em servidores Apple: até US$ 50 mil
• Acesso a partir de um processo de área restrita aos dados dos usuários fora do sandbox: até US$ 25 mil
Para ganharem a recompensa, investigadores terão de fornecer uma prova de conceito de iOS e hardware. A recompensa será baseada em vários fatores: clareza do relatório de vulnerabilidade; novidade do problema e probabilidade de exposição do utilizador; e grau de interação do usuário necessário para explorar a vulnerabilidade.
A Apple planeja incentivar que pesquisadores doem o dinheiro para caridade. Se a Apple aprovar a instituição selecionada de um pesquisador, irá corresponder agregar mais dinheiro à doação.
O Sberbank, maior banco da Rússia, está oferecendo modelos de inteligência artificial (IA) a países…
A Palo Alto Networks registrou forte aumento na procura de clientes por orientações sobre segurança…
O iFood confirmou nesta terça-feira (03) o vazamento de dados cadastrais de aproximadamente 1,2 milhão…
O CEO da OpenAI, Sam Altman, participará da cúpula do G7 na França em junho,…
A segurança digital passou a ocupar posição central na decisão dos brasileiros ao escolher uma…
A terceirização das operações de segurança cibernética vem se consolidando como estratégia predominante entre as…