Mostantól fizetni fog az Apple

  • (f)
  • (p)
Írta: Szűcs Péter | 2016-08-05 11:11 | Forrás: TechCrunch

Elindult a hibavadász program, egy-egy bejelentés maximum 200 ezer dollárt érhet. Most csak korábban már bizonyított biztonsági szakemberek vehetnek részt az akcióban.

Csütörtökön jelentette be az Apple, hogy hibavadász (bug bounty) programot indít. Míg a techcégek többsége évek óta fizet a korábban nem ismert sebezhetőségek felfedezőinek, a cupertinói vállalat ezt nem érezte fontosnak egészen mostanáig.

A sérülékenység jellegétől, fontosságától és a dokumentáció minőségétől függően akár 200 ezer dollárt is fizethet az Apple, csak az a baj, hogy van a feketepiacon, aki ennek többszörösét is hajlandó megadni. Például az FBI állítólag 1 millió dollárt költött egy exploitra, hogy bekukkanthassanak egy gyilkos telefonjába, miután nem kapták meg hivatalos úton a megfelelő segítséget.

A pontos összeg meghatározását egyedileg az Apple határozza majd meg, számos tényezőt figyelembe véve: ilyenek az egyértelműség, az újdonság mértéke, a kihasználás valószínűsége, illetve az, hogy a felfedezett sebezhetőséggel történő visszaélés igényel-e, és mekkora felhasználói "segítséget".

A hibavadászat meghívásos alapon történik, csak azok vehetnek részt benne, akik korábban már dokumentáltak sebezhetőséget a vállalat termékeivel kapcsolatban. Erre a tájékoztatás szerint azért volt szükség, hogy még véletlenül se kerüljenek nyilvánosságra olyan kritikus sebezhetőségek, amelyekkel a bűnözők dolgát segítenék. Ettől még az ígéret szerint szép lassan bővítik majd azok körét, akik részt vehetnek a programban.

Pénzt csak annak fizet a vállalat, aki szemléltetőeszközt, azaz megvalósíthatósági tanulmányt (proof of concept) is produkál. Ha a hibavadász úgy dönt, a jutalmat jótékonysági célokra fordítja és az Apple elfogadja a hacker által kiválasztott intézményt, az eredeti összeg duplájával kapja meg a szervezet - írja a TechCrunch.