Ternyata kadangkala kejahatan memang memberikan pulangan – yang penting dengan cara yang sah dan bukannya merembat akaun orang.
Ini kerana lima penggodam muda telah dibayar lebih dari satu perempat juta dolar oleh Apple setelah mengetahui kelemahan keselamatan yang serius dalam rangkaian syarikat itu.
Penggodam topi putih (penggodam ‘baik’) – kadang-kadang dikenali sebagai “penggodam beretika” – diketuai oleh penyelidik keselamatan berusia 20 tahun, Sam Curry menemui 55 pepijat dalam sistem dalam talian Apple, yang kebanyakannya boleh digunakan untuk melakukan serangan berbahaya.
Berikutan projek tiga bulan yang meneroka kerapuhan dalam rangkaiannya, kumpulan itu mengirim laporan kepada Apple yang berisi penemuan mereka, yang memberi peluang kepada syarikat untuk menyelesaikan masalah sebelum penggodam yang jahat dapat mengetahuinya.
Hackers Discover 55 Apple Vulnerabilities, Awarded Over $50,000 in Bounties https://t.co/2ZQNuUrPZm – A group of hackers has been awarded over $50,000 by Apple for discovering 55 vulnerabilities in the company's systems.
Sam Curry, Brett Buerhaus, Ben S… pic.twitter.com/jutX7X32yL
— Dr Vicente Nario (@DrBicentenario) October 8, 2020
Menurut catatan blog, kumpulan itu mendapati bahawa selama beberapa bulan rangkaian Apple terdedah dengan serangan yang mungkin membolehkan hacker mencuri maklumat sensitif dan memasang kod jahat pada peranti Apple, yang berpotensi mempengaruhi berjuta-juta pengguna.
Sam mengatakan bahawa 11 dari 55 bug itu adalah kelemahan ‘kritikal’, dengan penggodam dapat mengawal infrastruktur rangkaian teras Apple untuk mengakses e-mel peribadi, foto iCloud, dan maklumat peribadi lain.
Salah satu bug terburuk akan membolehkan penggodam mencuri foto, video dan dokumen dari mana-mana akaun iCloud – dan kemudian melakukan perkara yang sama kepada senarai kenalan mereka.
Dalam video yang diposkan ke YouTube, Sam menunjukkan bagaimana penggodam dapat memindahkan semua foto dan kenalan dalam akaun iCloud mangsa, meninggalkan mesej yang berbunyi, ‘iCloud anda telah digodam!’
Program bug-bounty Apple bermaksud pasukan penyelidik pada mulanya dibayar $ 51,500 untuk laporan mereka, tetapi setelah membuat laporan mereka terbuka semalam, pasukan itu diberitahu oleh syarikat bahawa hadiah mereka meningkat sehingga $288,500 (RM1.2 juta).
Korang boleh baca laporan Sam Curry di bawah ini, dalam pautan yang dia berikan pada post ini:
https://t.co/BOiXLnB1th – this is one of the most comprehensive writeups I have seen from the bug bounty community, awesome work by a whole crew of people hacking on apple – lots of takeaways, worth reading thoroughly
— shubs (@infosec_au) October 8, 2020
Sam memberitahu Ars Technica: “Balasan saya ke e-mel itu adalah; Wow, saya terkejut dengan keadaan sekarang.”
“Saya tidak pernah dibayar sebanyak ini sekaligus. Semua orang dalam kumpulan kami masih sedikit panik. ”
Dan dia berpendapat bahawa mereka boleh mendapat jumlah dengan hampir dua kali ganda apabila Apple selesai menganalisis hasil kerja mereka sepenuhnya kelak.
Pembayaran yang sangat besar itu diterima mereka – kurang dari sebulan setelah Instagram dilaporkan telah membayar seorang pemburu bug bounty berusia 14 tahun $25,000 untuk mengetahui kelemahan dalam sistem studio Augmented Reality.
Penggodam topi putih dapat menghasilkan sejumlah wang tunai yang besar, dengan syarikat teknologi besar sering menawarkan ganjaran untuk orang samaria yang baik yang menghadapi masalah dengan perisian mereka.
Pada hari ini banyak syarikat gergasi menawarkan hadiah kepada bug bounty. Antaranya Google menawarkan korang hadiah USD1 juta ataupun sekitar RM4.15 juta kalau korang dapat menggodam telefon Pixel mereka.
Google just announced it’s upped its bug bounty to $1m for a remote hack of its Pixel phones. Matches Apple as tech companies start to counter the private exploit markets, even if they don’t say it is a motive https://t.co/cL1vgaJZ1y
— Thomas Brewster (@iblametom) November 21, 2019
