近日,一名名叫Laxman Muthiyah的印度程序员发文称,他成功找到了iCloud账户的一个致命漏洞,提交给苹果公司后,原先可获得35万美元的赏金,变成了1.8万美元。十分气愤的他拒收了赏金,并表示“苹果的漏洞奖赏机制太不公开透明了,我宁愿免费分享我的研究。”
发现iCloud致命漏洞
Laxman Muthiyah是一名来自印度的白帽黑客。
这里稍微科普一下,白帽黑客指的是站在黑客的角度攻击系统,进行安全漏洞排查的程序员。
一直以来Laxman Muthiyah致力于帮助各大平台寻找漏洞,并以此获得赏金。
今年3月4日,他因为发现了微软账户中容易被劫持的漏洞,而获得微软5万美元的奖赏。
这并不是他发现的第一个漏洞。早之前,他发现了instagram账户中的一个漏洞。这个漏洞可以在账户所有者未经许可的情况下,入侵任何账户。Muthiyah将漏洞提交给了Facebook,因此他获得了3万美元的赏金。
Muthiyah因发现漏洞而获奖的事情,还有很多。
去年,他想测试一下iCloud账户是否存在安全漏洞。
经过不懈地努力,他真的发现了一个安全问题:黑客可以利用Apple ID找回密码这个功能,成功入侵任何一个iCloud账户。
赏金缩水95%
根据Apple官网上显示的关于找到漏洞的悬赏规则,如果有人找出涉及iCloud账户的漏洞,赏金可以高达10万美元,如果找到上锁Apple设备上提取用户数据的漏洞,可以获得25万美元赏金。
Muthiyah发现的这一漏洞,将为他带来35万美元的收入。
但事情并没有朝他想的那样发展。
起先Apple团队很积极地恢复了Muthiyah所提到的漏洞。
结果Apple好像开始磨起洋工。不仅没有支付相关的赏金,甚至连这一致命漏洞都没有修复,Muthiyah不断地联系,时隔10个月后,Apple才将这个漏洞的补丁发布到生产环境中,但Apple还是没更新。
Muthiyah实在忍无可忍,他直接给Apple团队写了一封邮件,表示将在自己的博客上公布这一漏洞。
Apple还非常友善地表示,发布之前可以先将稿子发来看看。
当Apple技术团队看完稿子后,完全否认了他的看法,认为这个漏洞并不致命,只有非Apple设备上的iCloud账户才会遭到攻击,绝大部分用户是不会受到影响的。
Muthiyah感到非常失望,于是他不管Apple是否同意,一定要将这一漏洞发布在自己的博客上。
这时Apple团队给他发来了一封悬赏邮件,邮件里肯定了他的行为,但也表示,只能支付给他1.8万美元,合约11万人民币的奖励。
对于苹果的做法,Muthiyah简直要气炸了,十分干脆地拒绝了这笔奖赏。
对于这一次的经历,Muthiyah表示希望苹果的安全团队,更更加公开、透明地让白帽黑客们,了解发现漏洞具体的赏金金额。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理