Cindy Shebley/Flickr
Программа вознаграждения за найденные ошибки от Apple работает не так хорошо, как хотелось бы. Компания пропустила важное письмо про 4 уязвимости от российского специалиста и ему пришлось опубликовать данные об ошибках на «Хабре»
Российский специалист по кибербезопасности Денис Токарев сообщал об уязвимостях Apple в период с 10 марта по 29 апреля. В последний раз он написал Apple об этих трех уязвимостях 6, 12 и 25 августа соответственно, но ответа так и не получил. Тогда Токарев выдвинул ультиматум компании 13 сентября, в котором утверждал, что опубликует подробную информацию об ошибках, если не получит ответ.
По словам Токарева, который поделился электронной почтой Apple с изданием Vice, только после того, как он опубликовал подробную информацию об уязвимостях, Apple обратилась к нему. Издание проверило сервер, с которой было отправлено письмо, и это действительно оказалась официальная почта компании. Россиянин надеется получить вознаграждение по программе Apple Security Bounty. Рассчитывать он может примерно на $100 тысяч.
«Мы видели ваше сообщение в блоге по этому вопросу и другие ваши отчеты. Мы приносим извинения за задержку с ответом. Мы хотим сообщить вам, что мы все еще расследуем эти проблемы и то, как мы можем их решить, чтобы защитить клиентов. Еще раз спасибо вам за то, что нашли время сообщить нам об этих проблемах, мы ценим вашу помощь. Пожалуйста, дайте нам знать, если у вас есть какие-либо вопросы», — написала Apple Токареву.
Как отмечает сам исследователь и другие специалисты, найденные уязвимости не особо критичны, так как для того, чтобы ими воспользоваться, нужно установить на устройство вредоносное приложение через App Store — попасть в этот магазин вредоносному коду не так-то просто.