I tre månader ägnade sig en grupp buggjägare sig åt att hacka Apples produkter i jakten på buggar. Alla problem rapporterades till Apple och i slutet av de tre månaderna så hade gruppen fått 51 500 dollar för sina upptäckter.
Apple har som bekant ett belöningssystem för den som rapporterar in buggar. Ersättningen utgår ifrån hur allvarlig buggen är, hur mycket tid det kan ha tagit att hitta den och hur lätt det kan vara för obehöriga att exploatera den.
Gruppen
- Sam Curry (@samwcyo)
- Brett Buerhaus (@bbuerhaus)
- Ben Sadeghipour (@nahamsec)
- Samuel Erb (@erbbysam)
- Tanner Barnes (@_StaticFlow_)
Vartefter buggar hittades så rapporterade de till Apple:
There were a total of 55 vulnerabilities discovered with 11 critical severity, 29 high severity, 13 medium severity, and 2 low severity reports. These severities were assessed by us for summarization purposes and are dependent on a mix of CVSS and our understanding of the business related impact.
As of October 6th, 2020, the vast majority of these findings have been fixed and credited. They were typically remediated within 1-2 business days (with some being fixed in as little as 4-6 hours).
Kartläggning
Gruppen började med att kartlägga hela Apples nätverk, hela ekosystemet, för att ta reda på vad som var tillgängligt för dem att utforska. När det var gjort så inleddes ett tidsödande, ,mödosamt jobb på att se var det fanns svagheter, buggar.
The first step in hacking Apple was figuring out what to actually target. Both Ben and Tanner were the experts here, so they began figuring out what all Apple owned that was accessible to us. All of the results from their scanning were indexed in a dashboard that included the HTTP status code, headers, response body, and screenshot of the accessible web servers under the various domains owned by Apple that we’d refer to over the engagement.
0 kommentarer