Руководитель исследовательского центра «Лаборатории Касперского» Дмитрий Галов рассказал в интервью каналу RTVI о том, что Apple не захотела выплатить компании причитающиеся по традиции bug bounty — деньги за обнаруженную уязвимость.
По словам Галова, в 2023 году «Лабораторией Касперского» в iOS была обнаружена глобальная киберпреступная кампания, которую специалисты назвали «самой изощрённой». Хакеры могли незаметно внедрить на любой iPhone шпионский модуль посредством обычного сообщения в iMessage. Пользователю даже не нужно было переходить по ссылкам или на что-то нажимать.
Но при открытии вполне обычного с виду сообщения запускался эксплойт. Причём речь шла о продуманных до мелочей атаках нулевого дня (zero-day) и взломе без взаимодействия с пользователем (zero-click).
Эксперты «Лаборатории Касперского» выслали Apple отчёт, за что обычно полагается вознаграждение: в данном случае речь шла об $1 млн. Но Apple этого не сделала, сославшись на внутреннюю политику, и без объяснения причин.
Галов отметил, что компания, которую он представляет, в вознаграждении не нуждается. Но принято отправлять эти деньги на благотворительность. Однако и для этого Apple деньги выплачивать отказалась.
«Мы нашли zero-day, zero-click уязвимости, передали всю информацию Apple, сделали полезное дело. По сути своей, мы зарепортили им уязвимость, за которую они должны заплатить bug bounty (награду за обнаруженную уязвимость — RTVI). Нам это вознаграждение не нужно, но есть практика такие выплаты от больших компаний передавать на благотворительность. Apple отказала нам в выплате, даже в пользу благотворительной организации, сославшись на внутреннюю политику, без объяснения. Учитывая, сколько информации мы им предоставили и насколько проактивно это сделали — непонятно, почему они приняли такое решение», — рассказал Галов.
