Apple платит 100000 долларов хакеру из Дели за проблему безопасности «Войти через Apple»
Apple выплатила вознаграждение за ошибку в размере 100 000 долларов исследователю из Дели, который указал на критическую уязвимость в аутентификации учетной записи «Войти с помощью Apple». В июне 2019 года Apple объявила о возможности входа в систему с помощью Apple, чтобы обеспечить более ориентированный на конфиденциальность вариант входа в приложения и веб-сайты, чем учетные записи Facebook и Google.
24 мая Бхавук Джайн, исследователь уязвимостей, зашел в Twitter, чтобы объявить, что он получил письмо с подтверждением о награде за ошибку в размере 100 000 долларов. Он также опубликовал отрывок из письма, в котором говорится, что отчет Джейна соответствует требованиям Apple Security Bounty, и фирма наградит его 100 000 долларов за сообщение о проблеме.
Вот моя первая 6-значная награда от @Apple. Сообщение в блоге появится на следующей неделе. #bugbounty pic.twitter.com/QygxvtGYJb
Неделю спустя Джайн поделился подробностями об ошибке в подробном сообщении в блоге, заявив, что влияние уязвимости было весьма критическим, поскольку она могла позволить полностью захватить учетную запись. Он написал, что многие разработчики интегрировали функцию входа в систему Apple, поскольку она является обязательной для приложений, включая Dropbox, Spotify и Airbnb, которые поддерживают вход в другие социальные сети.
«Эта ошибка могла привести к полному захвату учетных записей пользователей в этом стороннем приложении, независимо от того, имеет ли жертва действительный Apple ID или нет», - добавил он.
Читайте: «Мудрое решение, если ...»: Аршад Варси о предложении Apple перейти в Индию из Китая
Джайн сказал, что, хотя приложения не тестировались, они могли быть уязвимы для полного захвата учетной записи, если бы не были приняты другие меры безопасности при проверке пользователя. Он добавил, что Apple также провела расследование их журналов и определила, что из-за этой уязвимости не было злонамеренного использования или взлома какой-либо учетной записи.
Генеральный директор HackerOne Мартен Микос поздравил Джайна с «фантастической находкой», сказав, что все выиграют, если уязвимость будет обнаружена и исправлена.
Это потрясающе. Поздравляем с фантастической находкой! Всем лучше с найденной и исправленной уязвимостью. А какая награда - 100000 долларов! Абсолютно выдающийся.
Читайте: Леонардо Ди Каприо, «Убийцы цветочной луны» Мартина Скорсезе приобретены Apple
(Изображение: AP)
комментариев