Комментарии 12
Ему хотя бы заплатили, в отличие Лаборатории Касперского, еще парочку таких новостей и люди реально все такие "уязвимости" просто станут продавать тем, кто реально платит
У Apple это стандартная практика уже как минимум 5-6 лет, и ничего - люди продолжают приносить им CVE а не идти с ними налево. И пока это, к сожалению, продолжается - какой у Apple стимул вести себя честно?
Нужны подробности, если это просто вызов и ничего более, да ещё только из списка контактов.. то награда вполне адекватная.
Несколько примеров: [1](https://thezerohack.com/apple-vulnerability-bug-bounty), [2](https://medium.com/macoclock/apple-security-bounty-a-personal-experience-fe9a57a81943)... Вообще, странно, полез искать в закладках пару статей которые я отмечал - битые ссылки. Нашел статью здесь же, на хабре - [скрыта](https://habr.com/ru/articles/579714/), нашел пост в твиттере - [удален](https://twitter.com/stroughtonsmith/status/1414962126964285440). Очень подозрительно это выглядит. Может, конечно, и совпадение, но тот факт что при поиске именно фактов их жмотничества первой ссылкой идет сама программа, за ней следует десяток хайп-писов о том что Apple платит в разы лучше кого угодно в этой индустрии (без примеров, называя максимальные допустимы для каждой категории выплаты, которые люди кто сабмитит баги называют недостижимыми в практике), а уже потом несколько статей о реальном опыте, с кучей битых ссылок...
Писали об этом и в общих чертах [еще в 2017](https://appleinsider.com/articles/17/07/06/apples-bug-bounty-program-hindered-by-low-payouts-report-says), и не где-нибудь, а в публикации которая обычно Apple вылизывает
Нашел статью здесь же, на хабре - скрыта
Как подсказывает нам интернет-архив, ориентировочно в феврале 2023 автор публикации возжелал её скрыть.
https://web.archive.org/web/20221110220740/http://habr.com/en/post/579714/
Не ходите, дети, работать в ИБ - там мутно. Ищешь уязвимости - не заплатят нормально. Пентестишь - попробуют засудить за неправомерный доступ к инфраструктуре, даже если ничего не сделал и описал как закрыть уязвимость. Реверсишь - в тихаря для себя ничего, но выложишь от своего имени в открытый доступ - так правообладатель возмутится и заставит площадку, куда ты там выложил, удалить твои труды
Ну тогда почему бы просто не заняться распространением майнеров и шифровальщиков?
Распространением действительно просто заняться. Всяко проще, чем разработкой. Если кто-то хочет, то можно и распространить, только у всего есть свои последствия. Сложно сказать какие будут конкретно - зависит от объёмов и места распространения. Но если человек хочет - у меня нет инструмента что бы предотвратить это
А сейчас почти в любой сфере стало мутно. Репутация больше ничего не значит. Быть клоуном стало выгоднее, чем говорить правду и держать слово. Производить полную хрень выгоднее, чем качественный продукт. Частную собственность можно отобрать в любой стране, можно и без причины. За правду - обидятся и отменят. Суды теперь - lawfare (и нет, я не поклонник Трампа).
Интересно, как правообладатель заставит что-то сделать площадку в .onion?
Apple заплатила $5 тыс. за критическую уязвимость в iOS и macOS и отказала в увеличении награды