Entre le 6 juillet et le 6 octobre, Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb et Tanner Barnes ont travaillé ensemble pour pirater Apple, profitant du programme de primes aux bogues de l'entreprise.
Selon le compte de Sam Curry, il a découvert un article de blog via Twitter dans lequel un chercheur affirmait avoir gagné 100.000 XNUMX $ pour avoir découvert un moyen de contourner l'authentification qui lui permettait de se connecter arbitrairement à n'importe quel compte client Apple. Cela l'a surpris, car il pensait que le programme de récompenses d'Apple ne s'appliquait qu'aux vulnérabilités de sécurité affectant leurs produits physiques et ne récompensait pas les bogues trouvés sur leurs sites Web.
Avec un peu de recherche, Tim Curry a découvert qu'Apple payait en fait pour trouver des vulnérabilités "qui auraient un impact significatif sur les utilisateurs", que l'actif soit ou non répertorié comme cible du programme.
Au cours de ces mois, les pirates (cibles) ont découvert diverses vulnérabilités dans des parties clés de l'infrastructure Web d'Apple qui auraient permis à un attaquant de compromettre complètement les applications des clients et des employés en lançant un ver qui pourrait automatiquement prendre le contrôle d'un compte. le code des projets internes d'Apple compromet complètement le logiciel de contrôle d'un entrepôt utilisé par Apple et pénètre dans les sessions des employés d'Apple avec la possibilité d'accéder à des ressources privées et à des outils de gestion.
Au total, ils ont trouvé 55 vulnérabilités, 11 de gravité critique, 29 de gravité élevée, 13 de gravité moyenne et 2 de faible gravité.
Au 6 octobre, la grande majorité des constatations avaient déjà été corrigées et leurs auteurs reconnus. Ils étaient généralement résolus en un jour ou deux (et certains résolus dans les 4 à 6 heures suivant la notification).
Même si vous n'avez aucune connaissance en programmation et que beaucoup de ce que vous lisez vous semble chinois, c'est une lecture intéressante pour la description des méthodes de détection des trous… et le nombre étonnant qu'il y en a !
Vous pouvez le lire ici
