Apple удвоила вознаграждение за поиск уязвимостей до $2 миллионов
Apple объявила на Hexacon 2025 – ведущей мировой конференции по безопасности, об удвоении максимального вознаграждения за обнаружение уязвимостей до $2 миллионов. Компания стала самой щедрой компанией в программах отлова багов, а дополнительные бонусы могут увеличить выплаты экспертам по безопасности до более чем $5 миллионов.
Согласно блогу Apple Security Research, компания уже выплатила более $35 миллионов более 800 исследователям безопасности с 2020 года, что составляет среднее вознаграждение $43,750. Apple заявила о множественных случаях выплаты $500,000 отдельным специалистам.
Максимальная награда в $2 миллиона рассчитана на тех, кто обнаружит сложные цепочки эксплойтов, аналогичные используемым в атаках с помощью шпионского ПО. Помимо этого существует бонусная система для взлома защищенной среды Lockdown Mode от Apple и уязвимостей в бета-версиях ПО, доводящая потенциальную выплату до более $5 миллионов.
Предусмотрены награды меньшего размера – $1 миллион за взлом безопасности iCloud и создание беспроводной атаки, до $300,000 за разработку механизма выхода из песочницы WebKit одним кликом и $100,000 за обход Gatekeeper на macOS.
Программа отлова багов Apple не единственная доступная для участия. AMD запустила собственную программу в прошлом году с выплатой до $30,000, Intel предлагает максимум $100,000, а Microsoft – $250,000. Google начала Vulnerability Reward Program в 2010 году с вознаграждениями от нескольких сотен долларов до миллиона за серьезнейшие уязвимости чипа безопасности Titan M. Поисковый гигант выплатил $11.8 миллионов в 2024 году 660 исследователям, принеся среднюю награду $17,800 на человека.
Эти награды делают поиск багов прибыльной областью, особенно для талантливых исследователей безопасности.
