Parece que, num período de três anos, o Apple Security Bounty passou por uma redenção. Até 2019, o programa de recompensas pela detecção de falhas de segurança da empresa era conhecido por pagar pouco e não ter muitos atrativos. Nesse ano, ele passou por uma reformulação, tornando-se mais amigável aos pesquisadores de segurança, além de os valores pagos pelo encontro de vulnerabilidades ter subido.
Pelo visto, as mudanças surtiram algum efeito. Um estudo conduzido pela AtlasVPN mostrou que a Apple paga cinco vezes mais a hackers que encontram brechas de segurança no sistema do que, por exemplo, a Samsung e a Huawei.
As recompensas da Maçã variam entre US$100 mil e US$1 milhão, enquanto a sul-coreana paga entre US$200 e US$200 mil. Já a empresa chinesa remunera o encontro de falhas em seus sistemas com valores entre US$200 mil e US$223 mil. Outras empresas pagam ainda menos, como a LG, cujo teto de pagamento é de US$4,2 mil, como mostra o gráfico abaixo.
Apesar disso, como lembrou o 9to5Mac, o Apple Security Bounty está longe de ser perfeito. Como também já mostramos aqui, não são raras as acusações de irregularidades no programa. Dois pesquisadores, por exemplo, acusaram a Apple de não ter creditado vulnerabilidades detectadas por eles em setembro e outubro do ano passado.
Ademais, outros desenvolvedores têm uma opinião diferente da AtlasVPN. Já se ouviram relatos no sentido de que o programa de recompensas da Apple é inferior aos de empresas como Google e Microsoft. A cultura de silêncio e não reconhecimento de falhas da companhia, alega-se, também não ajuda, já que dificulta o processo de saber quais vulnerabilidades já foram descobertas.
Programas do tipo são muito importantes, já que garantem que a própria empresa que desenvolve os produtos e sistemas também apare as arestas de possíveis vulnerabilidades. Nenhum produto é perfeito, por isso sempre existem novas atualizações de segurança, já que crackers sempre tentam explorar brechas dos softwares. Alguns o fazem para alertar dos riscos, mas outros têm o objetivo de tirar proveito dessas falhas. Ao não melhorar o programa, estimula-se que os primeiros transformem-se nos segundos, ao vender o que foi detectado para cibercriminosos.
Complicado, não?
NOTA DE TRANSPARÊNCIA: O MacMagazine recebe uma pequena comissão sobre vendas concluídas por meio de links deste post, mas você, como consumidor, não paga nada mais pelos produtos comprando pelos nossos links de afiliado.
