Как стать автором
Обновить

Комментарии 12

Ему хотя бы заплатили, в отличие Лаборатории Касперского, еще парочку таких новостей и люди реально все такие "уязвимости" просто станут продавать тем, кто реально платит

У Apple это стандартная практика уже как минимум 5-6 лет, и ничего - люди продолжают приносить им CVE а не идти с ними налево. И пока это, к сожалению, продолжается - какой у Apple стимул вести себя честно?

Нужны подробности, если это просто вызов и ничего более, да ещё только из списка контактов.. то награда вполне адекватная.

Несколько примеров: [1](https://thezerohack.com/apple-vulnerability-bug-bounty), [2](https://medium.com/macoclock/apple-security-bounty-a-personal-experience-fe9a57a81943)... Вообще, странно, полез искать в закладках пару статей которые я отмечал - битые ссылки. Нашел статью здесь же, на хабре - [скрыта](https://habr.com/ru/articles/579714/), нашел пост в твиттере - [удален](https://twitter.com/stroughtonsmith/status/1414962126964285440). Очень подозрительно это выглядит. Может, конечно, и совпадение, но тот факт что при поиске именно фактов их жмотничества первой ссылкой идет сама программа, за ней следует десяток хайп-писов о том что Apple платит в разы лучше кого угодно в этой индустрии (без примеров, называя максимальные допустимы для каждой категории выплаты, которые люди кто сабмитит баги называют недостижимыми в практике), а уже потом несколько статей о реальном опыте, с кучей битых ссылок...

Писали об этом и в общих чертах [еще в 2017](https://appleinsider.com/articles/17/07/06/apples-bug-bounty-program-hindered-by-low-payouts-report-says), и не где-нибудь, а в публикации которая обычно Apple вылизывает

Нашел статью здесь же, на хабре - скрыта

Как подсказывает нам интернет-архив, ориентировочно в феврале 2023 автор публикации возжелал её скрыть.

https://web.archive.org/web/20221110220740/http://habr.com/en/post/579714/

Не ходите, дети, работать в ИБ - там мутно. Ищешь уязвимости - не заплатят нормально. Пентестишь - попробуют засудить за неправомерный доступ к инфраструктуре, даже если ничего не сделал и описал как закрыть уязвимость. Реверсишь - в тихаря для себя ничего, но выложишь от своего имени в открытый доступ - так правообладатель возмутится и заставит площадку, куда ты там выложил, удалить твои труды

Ну тогда почему бы просто не заняться распространением майнеров и шифровальщиков?

Распространением действительно просто заняться. Всяко проще, чем разработкой. Если кто-то хочет, то можно и распространить, только у всего есть свои последствия. Сложно сказать какие будут конкретно - зависит от объёмов и места распространения. Но если человек хочет - у меня нет инструмента что бы предотвратить это

А сейчас почти в любой сфере стало мутно. Репутация больше ничего не значит. Быть клоуном стало выгоднее, чем говорить правду и держать слово. Производить полную хрень выгоднее, чем качественный продукт. Частную собственность можно отобрать в любой стране, можно и без причины. За правду - обидятся и отменят. Суды теперь - lawfare (и нет, я не поклонник Трампа).

Интересно, как правообладатель заставит что-то сделать площадку в .onion?

Никак. Но и трафика будет 1.5 анонимуса.

А какая разница, если они там целенаправленно, за покупкой эксплоитов для ios?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Другие новости

Истории