Хоча Apple заявляє про щедру програму винагород за виявлення вразливостей у своїх продуктах — до $2 мільйонів за критичні баги — практика показує інше. Один із дослідників кібербезпеки отримав лише $1 000 за помилку в браузері Safari, яку Apple сама класифікувала як критичну. Про це пише 9to5Mac.
Уразливість дозволяла доступ до iCloud і камери iPhone
Користувач із псевдонімом RenwaX23 виявив Universal Cross-Site Scripting (UXSS) уразливість у Safari. Такий тип багу дозволяє зловмиснику видавати себе за користувача та отримувати доступ до його персональних даних. У цьому випадку — до iCloud і камери iOS-пристроїв.
Уразливість отримала критичний рівень небезпеки — 9.8 із 10 — та була зафіксована як CVE-2025-30466. Apple усунула її в Safari 18.4, який вийшов у березні разом з iOS/iPadOS 18.4 і macOS 15.4. Попри серйозність багу, винагорода для дослідника склала лише $1 000.
Програма Apple Bug Bounty: обіцянки і реальність
Apple оновила програму винагород у 2022 році, заявивши, що середній розмір виплат становить $40 000, а в окремих випадках компанія платила шестизначні суми. Наприклад, студент, який виявив спосіб одночасного захоплення камери Mac і iPhone, отримав $175 000.
Однак ситуація з RenwaX23 вказує на суперечність між політикою Apple і фактичними виплатами. Інші дослідники також діляться подібним досвідом: один із них повідомив, що замість очікуваних $50 000 отримав лише $5 000.
