С чем связан отказ корпорации от своих обязательств в рамках программы Bug Bounty

Apple отказалась выплатить «Лаборатории Касперского» $1 млн. Речь идет о вознаграждении по программе Bug Bounty: IT-гигант поощряет специалистов, которые обнаружили ошибки в своем программном обеспечении. Как сообщил разработчик систем защиты, в 2023 году там нашли слабое место в операционной системе iOS. Уязвимость позволяла мошенникам внедрять шпионский модуль на любой iPhone. Однако в Apple обещание не сдержали и награду не выплатили без объяснения причин, сославшись на внутреннюю политику.

Специалисты и компания не рассчитывали на материальное вознаграждение, но Apple могла бы перечислить деньги на благотворительность, рассказал “Ъ FM” руководитель российского исследовательского центра «Лаборатории Касперского» Дмитрий Галов: «Злоумышленниками использовалась целая цепочка из нескольких уязвимостей. Всю информацию о них мы абсолютно прозрачно и ответственно сообщили компании Apple. По итогу данные уязвимости были признаны несоответствующими их Bug Bounty программе, за которую полагаются выплаты исследователям, их обнаружившим.

В тот момент мы нисколько не надеялись на какую-то финансовую выгоду. Но, к примеру, существует практика, когда компании такие премии пускают на благотворительность.

После расследования "Операции Триангуляции" в "Лаборатории Касперского" начали заменять планово и поэтапно рабочую технику сотрудников с iOS-устройств на Android. Это решение было принято не из-за того, что одна или другая операционная система являются более защищенными. Просто мы как секьюрити-вендор хотим в своих руках иметь чуть больше контроля над безопасностью гаджетов наших сотрудников, в том числе иметь больше возможностей для того, чтобы в случае любой потенциальной атаки ее эффективно расследовать».

Программа Bug Bounty действует в Apple с 2016 года. При этом компания не торопится исправлять найденные ошибки и не всегда исправно платит хакерам, сообщал The Washington Post три года назад. По данным источников издания, в итоге информация об уязвимости утекает на «серый» рынок. Это негативно сказывается на имидже компании, считает независимый эксперт по информационной безопасности Яков Гродзенский. По его словам, хакеры могут продавать данные о «дырах» в программном обеспечении любому, кто заплатит:

«Если все было сделано по правилам, "Лаборатория Касперского" была зарегистрирована в программе Bug Bounty, то есть только один случай, при котором компания не может заплатить вознаграждение: если она сама нашла эту уязвимость раньше исследователей со стороны и при этом каким-то образом смогла это доказать. Так как в данном случае мы не видим из открытых источников обоснований или доказательств со стороны Apple, что она нашла эту уязвимость прежде "Лаборатории Касперского", то здесь стоит все-таки, с моей точки зрения, говорить о некой политической подоплеке.

Между тем если корпорация периодически начинает уходить от выполнения обязательств перед багхантерами, то это просто снижает ее авторитет и тем самым фактически в той или иной степени увеличивает риски информационной безопасности.

Число таких материально заинтересованных исследователей снижается. Если добавить сюда некий психологический фактор, когда багхантер провел работу, и ему за это ничего не заплатили, то, конечно, он может выложить информацию об этой уязвимости в открытый доступ».

С момента запуска программы Bug Bounty Apple предлагала выплачивать до $200 тыс. за информацию о брешах в своем программном обеспечении. За восемь лет порог увеличился, и сейчас максимальная сумма составляет $1 млн.

Есть ли у «Лаборатории Касперского» шансы добиться выплаты? Руководитель дирекции юридической фирмы Vegas Lex Кирилл Никитин считает, что у дела есть перспектива получить развитие как в российских, так и зарубежных инстанциях: «Сам предмет — некоммерческие отношения, добровольная программа поощрения, в которой участвуют в основном какие-то молодые программисты. Чисто юридически, конечно, у исследователей есть возможность обратиться в суд как в российский, так и зарубежный.

С точки зрения российского законодательства публичное обещание награды — это юридическое обязательство, которое было доведено до сведения неограниченного числа лиц путем размещения условий на сайте. Это обязательство достаточно ощутимое, осязаемое, и оно может быть реализовано в российском суде. Однако я не думаю, что "Лаборатории Касперского" будет обращаться за этими деньгами. Разве что компания попросит передать их на благотворительность. Мне кажется, это имиджевая история».

По словам одного из руководителей Apple, в 2020 году компания выплатила свыше $3,5 млн в рамках программы Bug Bounty. В корпорации также отмечают, что продолжат материально поощрять исследователей, чтобы защитить данные миллионов своих пользователей.

С нами все ясно — Telegram-канал "Ъ FM".

Анна Кулецкая