Recentemente nós comentamos que a Apple era uma das poucas empresas do setor de tecnologia que não oferecia um programa de recompensas para brechas de seguranças. Hoje, quem ajuda a companhia nesse sentido (encontrando e relatando vulnerabilidades nos sistemas) “ganha” apenas um agradecimento nominal1Nas páginas de suporte que trazem informações sobre as atualizações de segurança.. Felizmente, isso mudará em breve.
At #BlackHat2016, Apple just announced a new Security Bounty program and has promised to prioritize pushing updates. pic.twitter.com/1jXW1tNMrb
— Jay Freeman (saurik) (@saurik) 4 de agosto de 2016
Nesta semana, a Apple participou da Black Hat USA 2016. Lá, a empresa divulgou que finalmente abrirá um programa para recompensar financeiramente pesquisadores de segurança e hackers que descobrirem e relatarem vulnerabilidades relevantes, seja nos sistemas operacionais (iOS, macOS, watchOS e tvOS) ou em produtos novos (hardwares como Macs, iPhones, iPads, Apple TV, etc.). Para termos uma ideia — uma base comparativa —, o Google pagou mais de US$2 milhões em recompensas do tipo em 2015 (a grande maioria eram vulnerabilidades no Android).
Conforme podemos ver no tweet de Jay “saurik” Freeman (criador do Cydia, loja que possibilita a instalação de apps/tweaks em iGadgets com jailbreak), as recompensas — ao menos neste primeiro momento — vão de US$25 mil (falha de acesso a processos a áreas restritas aos dados de usuários fora da sandbox) a US$200 mil (vulnerabilidades em componentes de firmware de inicialização segura).
O novo programa começará em setembro, apenas para convidados (algumas dezenas de pesquisadores) — a ideia é que ele se expanda com o tempo. A boa notícia é que, se uma pessoa que não faz parte do programa tiver nas mãos uma vulnerabilidade significativa, deverá ser convidada para fazer parte. A empresa explicou ainda que, apesar de incomum (limitar tudo para convidados), isso é importante para eliminar relatos espúrios e para se certificar que pesquisadores confiáveis tenham o apoio adequado.
É inegável que uma recompensa financeira é um baita incentivo para que pesquisadores e hackers procurem e divulguem bugs para as empresas. Algo do tipo realmente faltava à Apple. É aquela situação em que todos ganham: usuários (que têm nas mãos produtos/sistemas mais seguros); hackers (que são recompensados financeiramente) e a Apple (que deixa seu ecossistema mais seguro pagando apenas quando algo realmente importante é descoberto/relatado).
[via The Verge, TechCrunch]
Notas de rodapé
- 1Nas páginas de suporte que trazem informações sobre as atualizações de segurança.