Η Apple ανακοίνωσε στο Hexacon 2025, το κορυφαίο παγκόσμιο συνέδριο για το Internet Security, ότι πρόκειται να διπλασιάσει τη μέγιστη αμοιβή του προγράμματος bug bounty στα 2 εκατομμύρια δολάρια, καθιστώντας την την πιο γενναιόδωρη εταιρεία στον χώρο της κυβερνοασφάλειας. Μάλιστα, με πρόσθετα “top-up” μπόνους, οι ειδικοί που θα εντοπίσουν κρίσιμα exploits, θα μπορούν να κερδίσουν έως και 5 εκατομμύρια δολάρια.
Σύμφωνα με το Apple Security Research blog, από το 2020 η εταιρεία έχει ήδη καταβάλει πάνω από $35 εκατ. σε 800+ ερευνητές, με μέση ανταμοιβή $43.750 ανά εύρημα Μάλιστα, πολλοί εξ’ αυτών έχουν λάβει έως και $500.000. Η κορυφαία αμοιβή των $2 εκατ. προορίζεται για όσους ανακαλύψουν εξελιγμένες αλυσίδες εκμετάλλευσης (exploit chains) αντίστοιχες με αυτές που αξιοποιούν τα λεγόμενα mercenary spyware. Επιπλέον, υπάρχουν μπόνους για όσους καταφέρουν να «σπάσουν» το Lockdown Mode ή να εντοπίσουν κενά σε beta λογισμικό της Apple, ανεβάζοντας τη συνολική ανταμοιβή πάνω από τα $5 εκατ.
Οι υπόλοιπες κατηγορίες περιλαμβάνουν:
- $1 εκατ. για σοβαρά exploits στο iCloud,
- $300.000 για όσους καταφέρουν ένα “one-click” WebKit sandbox escape,
- $100.000 για bypass του Gatekeeper στο macOS,
- και έως $1 εκατ. για επιθέσεις μέσω ασύρματης εγγύτητας (radio proximity).
Σε σύγκριση, άλλες μεγάλες εταιρείες δίνουν σημαντικά μικρότερες αμοιβές… για παράδειγμα, η AMD έως $30.000, η Intel έως $100.000, η Microsoft μέχρι $250.000 (με συμμετοχή ακόμη και 13χρονων ερευνητών), η Meta $300.000 και η Google έως $1 εκατ. για κρίσιμα κενά στο Titan M chip. Το μήνυμα είναι σαφές από την Apple, καθώς το «κυνήγι των bugs» και των κενών ασφαλείας μπορεί να αποδειχθεί εξαιρετικά κερδοφόρο για τους ερευνητές ασφαλείας. Άλλωστε, για τις εταιρείες υψηλής τεχνολογίας είναι φθηνότερο και ασφαλέστερο να πληρώσουν ένα bug bounty, παρά να διακινδυνεύσουν μια παραβίαση που θα μπορούσε να πλήξει τη φήμη και τα οικονομικά τους (ή ακόμη σε ορισμένες περιπτώσεις ακόμη και να θέσει ζωές σε κίνδυνο).
