黑客团队花了3个月的时间对苹果平台和服务进行黑客攻击,并发现了一系列弱点。他们是这样描述的:“在我们参与的过程中,在Apple基础设施的核心部分发现了各种漏洞,攻击者可以利用这些漏洞完全破坏客户和员工的应用程序,甚至启动一个iCloud帐户,自动接管受害者的帐户。”该蠕虫获取苹果内部项目源代码,全面侵入苹果公司使用的工控仓库软件,接管苹果员工会话,可以访问管理工具和敏感资源。大多数错误在报告后很快就被Apple解决了,有些错误在短短几个小时内就得到了修复。总的来说,Apple对我们的报告反应非常积极。对于我们更重要的报告,从提交到修复的时间只有四个小时。作为Apple安全赏金计划的一部分,该小组的一些工作获得了丰厚的报酬。截至10月4日星期日,他们已收到四笔付款,总额为51,500美元。其中包括披露iCloud用户全名的5,000美元,发现IDOR漏洞的6,000美元,获得公司内部环境访问权限的6,500美元,以及发现包含客户数据的系统内存泄漏的34,000美元。由于没有人真正理解他们的漏洞赏金计划,我们投入了如此多的时间几乎进入了未知领域。Apple与安全研究人员合作的历史很有趣,但他们的漏洞披露计划似乎是朝着与黑客合作以确保资产安全并允许感兴趣的各方发现和报告漏洞的正确方向迈出的一大步。自去年以来,Apple一直在积极投资其漏洞赏金计划。根据安全漏洞的性质和严重程度,安全研究人员现在每个漏洞最高可获得100万美元的奖励。在获得Apple安全团队的许可后,该小组发布了一份详尽的报告,详细介绍了一系列漏洞以及定位和利用这些漏洞的方法。他们还暗示可能会提供更多赏金。
