agosto 1, 2021

Los investigadores de seguridad pasaron tres meses pirateando Apple, ganando $ 51,500 en Bounty

Apple otorgó una recompensa de $ 51,500 a un equipo de investigadores de seguridad por descubrir vulnerabilidades en la infraestructura de la empresa. El equipo pasó tres meses pirateando Apple y descubrió varias vulnerabilidades que pueden afectar su infraestructura digital.

Apple ofrece una recompensa a los investigadores de seguridad que encuentren un error. Inicialmente, los investigadores de seguridad pensaron que Apple estaba ofreciendo una recompensa solo por encontrar un error relacionado con productos como el iPhone. Sin embargo, rápidamente se dieron cuenta de que Apple está pagando una recompensa por las vulnerabilidades en su infraestructura. A principios de este año, la compañía pagó una recompensa por errores de $ 100,000 por descubrir Zero-Day In Sign in with Apple.

Pronto, el investigador de seguridad revisó la página de Apple sobre el programa de recompensa por errores. Apple dijo que estaba dispuesta a pagar por vulnerabilidades que han tenido un «impacto significativo en los usuarios». En otras palabras, la empresa paga una recompensa incluso si la vulnerabilidad no figura en el alcance y, sin embargo, tiene un impacto significativo en los usuarios. El investigador de seguridad se asoció con otros piratas informáticos y comenzaron a trabajar juntos.

El primer paso fue descubrir una infraestructura asequible propiedad de Apple. Descubrieron que Apple posee una enorme infraestructura web que incluye 25.000 servidores web. Tres meses después, el equipo de investigación de seguridad formado por Brett Buerhaus, Ben Sadeghipour, Tanner Barnes y Samuel Erb probó varios exploits. Encontraron 55 vulnerabilidades, de las cuales 28 eran de alta gravedad y 11 fueron etiquetadas como críticas.

Durante nuestro esfuerzo, hemos detectado una serie de vulnerabilidades en partes clave de su infraestructura que habrían permitido a un atacante comprometer por completo las aplicaciones de clientes y empleados, lanzar un gusano que podría detectar automáticamente la cuenta de iCloud de una víctima. , Recupera el código fuente interno que diseña Apple, compromete por completo un software de almacén de control industrial utilizado por Apple y se hace cargo de las sesiones de los empleados de Apple con la capacidad de acceder a herramientas y recursos de administración sensibles.

Corrección de vulnerabilidades de seguridad

Afortunadamente, Apple corrigió todas las vulnerabilidades a partir del 6 de octubre de 2021. Tomó de 1 a 3 días corregir algunos errores, mientras que otros se solucionaron en 4 a 5 horas. Como política, Apple no permite que los investigadores revelen todas las vulnerabilidades. Sin embargo, permitieron a los investigadores explicar brevemente algunas de las vulnerabilidades. Los investigadores de seguridad detallaron el compromiso total del programa de Educadores Distinguidos de Apple; otra vulnerabilidad mostró cómo los piratas informáticos pueden acceder a los datos de iCloud del usuario por correo electrónico. Una de las vulnerabilidades permitió a los piratas informáticos acceder al inventario interno de Apple.

Apple emite pagos por lotes y hasta ahora ha pagado $ 51,500 por la vulnerabilidad. Es probable que la empresa pague más por otras vulnerabilidades en los «meses siguientes».

[via SamCurry]

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *