רבים חושבים שמוצרי אפל חסינים לחלוטין מפני פריצות ומתקפות של האקרים וגורמים עוינים, אך לא קיימת בעולם מערכת שלא ניתנת לפריצה. ואכן, אחרי שלושה חודשים של עבודה מאומצת, חמישה חוקרי סייבר מצאו לא פחות מ-55 פרצות וחולשות בדרגות חומרה משתנות במוצריה של אפל. אגב, מסתבר שזו דרך לא רעה להרוויח כסף מהצד: אפל העניקה להם לא פחות מ-288,500 דולר ב-32 תשלומים שונים.
"במהלך עבודתנו, מצאנו מגוון חולשות בליבת התשתיות של מכשירי ושירותי אפל, שאפשרו לפרוץ הן ללקוחות והן לשירותים בהם משתמשים עובדי החברה", כתב סאם קארי, אחד מאנשי הסייבר, בן 20 בלבד. "בין היתר, האקרים יכלו להחדיר תולעת לחשבונות ה-iCloud של המשתמשים, לשלוף קוד מקור של פרויקטים פנימיים של אפל, להשתלט לחלוטין על תוכנה לניהול מלאים ומפעלים שבה אפל השתמשה, ולקבל גישה לכלים ניהוליים ולמשאבים רגישים", הצהיר. מלבד קארי, בפרויקט השתתפו ארבעה אנשי סייבר נוספים: ברט בוורהאוס (Brett Buerhaus), בן סאדגיפור (Ben Sadeghipour), סמואל ארב (Samuel Erb) וטאנר ברנס (Tanner Barnes).
New writeup:
"We Hacked Apple for 3 Months: Here’s What We Found"
Featuring...@bbuerhaus, @NahamSec, @erbbysam, and @_StaticFlow_ https://t.co/XE757tadE9
אחת הפרצות החמורות יותר איפשרה להאקרים להשתלט על חשבונות iCloud בעזרת שליחת מייל עם קוד זדוני; זאת, רק במצב שבו המשתמשים התחברו לתיבת הדואר של אפל דרך הדפדפן. לכאורה, ההאקרים יכלו שאוב את התמונות ואת אנשי הקשר של המשתמשים, וגם להפיץ את התולעת למשתמשים נוספים.
אפל מיהרה לתקן ברוב התקלות, כשכחלקן תוקנו תוך שעות ספורות בלבד, ומיהרה להעניק את התשלום לחוקרים. הקבוצה קיבלה את הסכום הנכבד מאפל הודות להשתתפותה בתוכנית פרס הבטיחות של אפל (Security Bounty), בה משקיעה קופרטינו מאמצים רבים בתקופה האחרונה; עד ה-4 באוקטובר הם קיבלו ארבעה תשלומים בסכום של 51,00 דולר. מתוכם, הם קיבלו 5,000 דולר עבור מסירת שמותיהם המלאים של משתמשי iCloud, 6,500 דולר עבור הגישה לסביבות העבודה הפנימיות של התאגיד, ו-34,000 דולר עבור גילוי דליפות זיכרון שהכילו מידע של לקוחות. לפי קרי, בן ה-20 בלבד, הסכום המצטבר על התשלומים שיקבלו עשוי להגיע ל-500,000 דולר. אגב, האקרים יכולים לקבל עד למיליון דולר לכל פרצה, כך שיש עוד לאן לשאוף.
סאם קרי פרסם את הדוח באתר האינטרנט שלו בהסכמתה המלאה של אפל. בדוח נפרשו כל החולשות שזוהו, לצד המתודות שבהן השתמשו כדי לנצלן; עוד נרמז בדו"ח שהחוקרים צפויים לאתר פירצות נוספות בזמן הקרוב.
"באפל, אנחנו עומדים על המשמר בכל הקשור לרשתות שלנו, ולשם כך העמדנו צוותי מומחים לאבטחת מידע שעובדים כדי לזהות ולהגיב לאיומים", נמסר בתגובה הרשמית מטעם אפל. "תיקנו את החולשות מיד כשהחוקרים דיווחנו לנו עליהן. בהתבסס על הרישומים שלנו, החוקרים היו הראשונים לגלות את החולשות, כך שאנחנו בטוחים שהמידע של המשתמשים לא נפגע. אנחנו מעריכים את שיתוף הפעולה שלנו עם מומחי אבטחת מידע כדי להמשיך ולשמור על ביטחונם של המשתמשים שלנו".