Apple hat eine Gruppe Hacker für die Entdeckung von Sicherheitslücken in Systemen des Konzerns mit 51.500 US-Dollar belohnt.
Die entdeckten Sicherheitslecks waren unterschiedlich schwer gelagert und einige davon wurden als kritisch eingestuft.
Was fanden die Hacker?
Drei Monate lang haben Sam Curry, Brett Buerhaus, Samuel Erb, Tanner Barnes und Ben Sadeghipour die Dienste und Plattformen von Apple gehackt, um Schwachstellen zu entdecken.
Wie die Hacker-Gruppe berichten, seien zahlreiche Sicherheitslecks in Kernbereichen der Infrastruktur gefunden worden, die einen Angreifer in die Lage versetzt hätten, sowohl Kunden-Anwendungen als auch Mitarbeiteranwendungen massiv zu bedrohen.
Ein Angreifer hätte etwa einen Wurm einschleusen können, der automatisch das iCloud-Konto eines Opfers übernehmen und den Quellcode abrufen kann. Dies würde Apple-Projekte gefährden und eine komplette Übernahme von Apples verwendete Industrial Control Warehouse-Software ermöglichen. Auf diese Weise wäre es möglich gewesen, dass ein Angreifer die Sitzungen von Apple-Mitarbeitern übernimmt, wodurch er Verwaltungstools und vertauliche Ressourcen hätte nutzen können.
Apple schließt Sicherheitslücken
Apple reagierte schnell und konnte ein Großteil der Sicherheitslücken schließen, darunter wurden einige in nur wenigen Stunden behoben. Die Bearbeitungszeit für die eingereichten kritischen Berichte belief sich den Hackern zufolge auf nur vier Stunden.
Die Hacker erhielten für ihre Entdeckung der Sicherheitslecks insgesamt 51.500 US-Dollar, die sich aus 5.000 US-Dollar für die Offenlegung des vollen Namens von iCloud-Nutzern, 6.000 US-Dollar für das Auffinden von IDOR-Schwachstellen, 6.500 US-Dollar für den Zugriff auf interne Unternehmensumgebungen und 34.000 US-Dollar für das Erkennen von Systemspeicherlücken, die Kundendaten beinhalten.
Das Geld erhielten sie aus dem Security Bounty-Programm, welches Anwender belohnt, die Sicherheitslecks in Apple Apps, Diensten und Anwendungen entdecken. Je nach Art und Schwere der Sicherheitslücke gibt es bis zu eine Million US-Dollar Belohnung pro gefundenen Leck.