Um grupo de hackers passou três meses hackeando a Apple, descobrindo vulnerabilidades em seus sistemas e lucrando com o programa Security Bounty no processo. Esse programa oferece dinheiro para pessoas que encontrarem bugs nos sistemas da Apple, e os hackers se aproveitaram dele por três meses, recebendo quase US$ 300 mil.

O grupo, formado por Bett Buerhaus, Sam Curry, Samuel Erb, Ben Sadeghipour e Tanner Barnes atacaram todos os pontos das estruturas da Apple ao longo desses três meses. No site de Curry, o grupo conta sobre seu trabalho.

“Durante nosso envolvimento, encontramos uma variedade de vulnerabilidades em partes centrais de sua infraestrutura que teriam permitido a um invasor comprometer totalmente os aplicativos de clientes e funcionários, lançar um worm capaz de assumir automaticamente o controle da conta iCloud da vítima, recuperar o código-fonte de projetos internos da Apple e assumir as sessões de funcionários da Apple com a capacidade de acessar ferramentas de gerenciamento e recursos sensíveis”, escreveram.

Os hackers afirmam ter encontrado 55 vulnerabilidades de gravidade variável, sendo algumas críticas e outras uma mistura de gravidade alta, média e baixa. Eles contam que a Apple resolveu a maior parte dos problemas rapidamente, entre um e dois dias úteis, alguns até em poucas horas.

A equipe passou a lucrar com programa depois de perceber que ele se estende além dos produtos físicos da Apple, englobando também seus ativos web e sua infraestrutura. “Isso chamou minha atenção como uma oportunidade interessante para investigar um novo programa que parecia ter um amplo escopo e funcionalidades divertidas”, disse Curry. “Na época, eu nunca havia trabalhado no programa de recompensas de bug da Apple, então não tinha realmente nenhuma ideia do que esperar, mas decidi tentar a sorte e ver o que poderia encontrar”.

Em seu site, Curry apresenta muitos detalhes sobre várias vulnerabilidades e estratégias para encontrar e atacar pontos fracos. Em suma, a equipe recebeu US$ 288.500 em recompensas da Apple (valor atualizado pelo próprio Curry após a publicação da matéria) pelas vulnerabilidades encontradas e reportadas.

Em entrevista ao site iMore, Curry disse que, embora a equipe tenha recebido pagamentos pelas falhas encontradas, eles esperam lucrar ainda mais, com outros pontos que atendem aos critérios especificados na página do programa de recompensas da Apple.

“O programa de recompensa por bug da Apple faz um ótimo trabalho encorajando a divulgação responsável, trabalhando ativamente com pesquisadores de segurança bem-intencionados”, elogiou Curry. “Programas como o da Apple incentivam bons atores e criam uma ponte entre organizações e hackers”.

Essa notícia mostra o sucesso do programa de recompensas da Apple, que ajuda os desenvolvedores a identificar problemas no ecossistema Apple antes que eles se tornem algo ruim para os usuários.

Via: iMore