2016/08/11

Empresas privadas pagam mais que a Apple por vulnerabilidades descobertas


Recentemente a Apple anunciou que iria dar início a um programa de recompensas por vulnerabilidades nos seus produtos, o problema é que há outras empresas que pagam bastante mais por isso.

A Apple há muito que era criticada por não dispor de um programa de recompensas de bugs e vulnerabilidades, ao estilo dos que a Google, Facebook e outros têm. Foi algo que recentemente ficou (parcialmente) resolvido, pois a Apple vai lançar um destes programas, mas que estará apenas aberto para empresas e investigadores convidados.

É uma decisão que faz com que potenciais vulnerabilidades ficassem por ser reportadas à Apple por terem sido descobertas por pessoas que não fizessem parte do grupo "VIP" de convidados; mas que se torna ainda mais complicada quando se considera que há outras empresas que pagam bem mais por estas vulnerabilidades. Enquanto a Apple oferece uma recompensa máxima de 200 mil dólares por falhas graves nos seus produtos, há empresas que oferecem mais do dobro: 500 mil dólares!


Claro que estes valores máximos serão aplicados apenas a vulnerabilidades que permitam comprometer todo o sistema (como aquelas que permitem fazer o jailbreak do iOS) e que a maioria delas obterá valores bem mais reduzidos - mas não deixará de ser uma contraproposta aliciante para um hacker que não tenha sido convidado pela Apple para o programa das recompensas. Isto, sem falar da questão do valor, só por si; pois por muito amigo da Apple que um hacker seja, entre 200 e 500 mil dólares ainda vai uma diferença significativa.

De resto, também vulnerabilidades em muitos outros produtos podem resultar em recompensas generosas, como 150 mil dólares para o Chrome, 125 mil dólares para o Edge e 80 mil para o Firefox. E mesmo uma vulnerabilidade no "eterno" poço de vulnerabilidades que é o Flash, pode ainda render 60 mil dólares.

Só é pena que ao se venderem vulnerabilidades a estas empresas privadas, as mesmas virão quase certamente a ser usadas para fins poucos éticos... como software de espionagem usados por empresas governamentais (e não só) que permitem fazer todo o tipo de coisas que se pensaria ser apenas possível nos filmes.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]