Apple thưởng một nhóm hacker 288.500 USD vì tìm ra nhiều lỗ hổng bảo mật
Một nhóm hacker đã dành nhiều tháng để tìm ra hàng loạt lỗ hổng của Apple, trong đó có lỗ hổng mà tin tặc có thể đánh cắp tệp từ tài khoản iCloud.
Nhóm hacker này hoạt động với mục tiêu cảnh báo Apple về các lỗ hổng thay vì đánh cắp thông tin. Nhóm được đại diện bởi Sam Curry (20 tuổi).
Curry cho biết trong một bài đăng trên blog: “Tôi chưa bao giờ làm việc trên chương trình tiền thưởng lỗi của Apple. Do đó, tôi không biết mình nên mong đợi điều gì từ điều này nhưng tôi lại nghĩ rằng tại sao mình lại không thử vận may và xem những gì mình có thể tìm thấy. Mặc dù không có gì đảm bảo về các khoản thưởng và tôi cũng không hiểu về cách chương trình hoạt động, nhưng mọi người đều tin tưởng chương trình này và chúng tôi bắt đầu hack vào hệ thống Apple.”
Cho đến nay, Apple đã trả cho nhóm 288.500 USD thông qua chương trình tiền thưởng lỗi để đổi lấy 55 lỗ hổng và 11 lỗ hổng trong số đó được dán nhãn “nghiêm trọng”. Ngoài ra, Curry cho biết sau khi Apple xử lý và thưởng cho tất cả các lỗi mà nhóm đã báo cáo, tổng số tiền họ được nhận có thể vượt quá 500.000 USD.
Một trong những lỗ hổng nghiêm trọng nhất mà nhóm tìm thấy là iCloud. Lỗ hổng bảo mật dựa trên thực tế là Apple Mail được hỗ trợ bởi iCloud. Các hacker có thể xâm nhập tài khoản iCloud sau khi gửi một email đến một địa chỉ email iCloud.com có chứa mã độc.
Apple đã vá tất cả các lỗ hổng ngay sau khi chúng được báo cáo.
Trong quá trình tìm kiếm các lỗi, Curry và nhóm của anh đã có được cái nhìn sâu sắc về quy mô lớn của cơ sở hạ tầng trực tuyến của Apple. Các nhà nghiên cứu nhận thấy Apple sở hữu hơn 25.000 máy chủ web, thuộc Apple.com, iCloud.com và hơn 7.000 tên miền độc đáo khác. Nhiều lỗ hổng được phát hiện bằng cách tìm kiếm thông qua các máy chủ web ít người biết đến do Apple sở hữu.
Apple đánh giá cao đóng góp của các hacker, đồng thời cho biết thêm rằng các lỗ hổng bảo mật đã được vá và không có bằng chứng nào về việc chúng bị khai thác bởi những kẻ xấu.
Người phát ngôn của Apple cho biết: “Tại Apple, chúng tôi bảo vệ một cách thận trọng các mạng của mình và có các nhóm chuyên gia bảo mật thông tin chuyên dụng làm việc để phát hiện và ứng phó với các mối đe dọa. Chúng tôi đánh giá cao sự hợp tác với các nhà nghiên cứu bảo mật để giúp giữ an toàn cho người dùng, đồng thời ghi nhận sự hỗ trợ của nhóm và họ sẽ nhận được phần thưởng từ chương trình Apple Security Bounty.”