Un gruppo di hacker è stato premiato da Apple con oltre 50.000$ per avere individuato 55 vulnerabilità di vario tipo nei sistemi aziendali.
Macrumors riferisce che Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb e Tanner Barnes hanno trascorso tre mesi nel tentare di hackerare piattaforme e servizi della Mela, individuando una serie di debolezze. Le 55 vulnerabilità scoperte dal gruppo sono di differente gravità, alcune ad ogni modo considerate anche di tipo critico.
“Durante la nostra occupazione abbiamo individuato una serie di vulnerabilità in porzioni centrali della loro infrastruttura, falle che avrebbero permesso ad un attacker di compromettere in pieno sia applicazioni lato-utente, sia applicazioni dei dipendenti, avviare un worm in grado di assumere automaticamente il controllo dell’account iCloud della vittima, individuare codice sorgente di progetti interni di Apple, pregiudicare completamente un software di Apple per il controllo industriale di un deposito e catturare le sessioni di lavoro di dipendenti Apple in grado di accedere a strumenti di gestione e risorse sensibili”.
Apple a quanto pare è stata rapida nel risolvere la maggiorparte delle vulnerabilità, alcune delle quali risolte anche poche ore dopo le segnalazioni.
“Nel complesso”, riferisce il gruppo, “Apple è stata molto reattiva con le nostre segnalazioni. Per i nostri report più critici sono bastate quattro ore dal momento della segnalazione a quello della bonifica”.
In virtù del Security Bounty Program predisposto da Apple, il gruppo ha ricevuto premi in denaro per il lavoro svolto. Al 4 ottobre di quest’anno hanno ottenuto 51.500$, totale che include 5000$ per un sistema che permetteva di ottenere il nome di un utente iCloud, 6000$ per una “vulnerabilità IDOR”, 6500$ per vulnerabilità legate agli accessi riservati al personale e 34.000$ per un leak nella memoria di sistema che consentiva di recuperare informazioni sugli utenti.
Con il permesso di Apple, il gruppo ha pubblicato un esteso report con vari dettagli sulle vulnerabilità e indicazioni di metodi per individuare e sfruttare determinate debolezze. A quanto pare di capire sono già pronti a segnalare nuovi problemi e guadagnare altri premi.
Tutti gli articoli di macitynet dedicati alla sicurezza sono disponibili da questa pagina.
