Apel
Pikir kamu bisa meretas ke dalam server Apple? Jika iya, kamu bisa mendapatkan hingga $1 juta terima kasih dari bug bounty baru. Pada hari Kamis, Apple mengungkapkan tantangan untuk menguji keamanan server yang akan memainkan peran utama dalam layanan Apple Intelligence-nya.
Saat Apple bersiap untuk peluncuran resmi layanan AI-nya minggu depan, perusahaan secara alami fokus pada keamanan. Meskipun sebagian besar pemrosesan untuk permintaan Apple Intelligence akan terjadi di perangkat Anda, beberapa akan ditangani oleh server Apple. Dikenal secara kolektif sebagai Private Cloud Compute (PCC), server-server ini perlu diamanankan terhadap segala jenis serangan cyber atau peretasan untuk melindungi data dari pencurian dan kompromi.
Juga: 7 aturan sandi penting yang harus diikuti pada tahun 2024, menurut para ahli keamanan
Apple sudah proaktif dalam melindungi PCC. Setelah awalnya mengumumkan Apple Intelligence, perusahaan mengundang peneliti keamanan dan privasi untuk memeriksa dan memverifikasi keamanan dan privasi ujung ke ujung dari server-server tersebut. Apple bahkan memberikan akses kepada peneliti dan auditor tertentu ke Virtual Research Environment dan sumber daya lainnya untuk membantu mereka menguji keamanan PCC. Sekarang perusahaan membuka pintu bagi siapa pun yang ingin mencoba meretas koleksi servernya.
Untuk memberikan orang keuntungan awal, Apple telah mempublikasikan Panduan Keamanan Private Cloud Compute. Panduan ini menjelaskan bagaimana PCC bekerja dengan fokus khusus pada bagaimana permintaan diautentikasi, bagaimana memeriksa perangkat lunak yang berjalan di pusat data Apple, dan bagaimana privasi dan keamanan PCC dirancang untuk bertahan dari berbagai jenis serangan cyber.
Virtual Research Environment (VRE) juga terbuka untuk siapa pun yang ingin mendapatkan bug bounty. Berjalan di Mac, VRE memungkinkan Anda memeriksa rilis perangkat lunak PCC, mengunduh file untuk setiap rilis, mem-boot rilis dalam lingkungan virtual, dan memperkenalkan perangkat lunak PCC untuk menyelidikinya lebih lanjut. Apple bahkan telah mempublikasikan kode sumber untuk komponen-komponen kunci PCC tertentu, yang dapat diakses di GitHub.
Juga: Pernah menginap di Marriott? Inilah arti penyelesaian dengan FTC bagi Anda
Sekarang bagaimana dengan bug bounty itu? Program ini dirancang untuk mengungkap kerentanan di tiga area utama:
Pembocoran data tidak sengaja – Kerentanan yang mengungkapkan data karena kecacatan konfigurasi atau masalah desain sistem PCC.Penyusupan eksternal dari permintaan pengguna – Kerentanan yang memungkinkan penyerang mengeksploitasi permintaan pengguna untuk mendapatkan akses tidak sah ke PCC.Akses fisik atau internal – Kerentanan di mana akses ke antarmuka internal PCC memungkinkan seseorang mengkompromi sistem tersebut.
Membongkarnya lebih lanjut, berikut adalah jumlah yang akan dibayarkan Apple untuk jenis peretasan dan penemuan yang berbeda:
Pembocoran data tidak sengaja atau tak terduga karena masalah implementasi atau konfigurasi – $50,000Kemampuan untuk menjalankan kode yang belum disertifikasi – $100,000.Akses ke data permintaan pengguna atau rincian pengguna sensitif lain di luar batas kepercayaan – area di mana tingkat kepercayaan berubah karena sifat sensitif data yang ditangkap – $150,000.Akses ke data permintaan pengguna atau informasi sensitif tentang permintaan pengguna di luar batas kepercayaan – $250,000.Penjalanan kode sewenang-wenang tanpa izin atau pengetahuan pengguna dengan hak sewenang-wenang – $1,000,000.
Namun, Apple berjanji untuk mempertimbangkan memberi uang untuk masalah keamanan apa pun yang signifikan memengaruhi PCC bahkan jika tidak sesuai dengan kategori yang dipublikasikan. Di sini, perusahaan akan mengevaluasi laporan Anda berdasarkan kualitas presentasi Anda, bukti apa yang dapat dieksploitasi, dan dampaknya pada pengguna. Untuk mempelajari lebih lanjut tentang program bug bounty Apple dan cara mengirimkan penelitian Anda sendiri, jelajahi halaman Apple Security Bounty.
Juga: Mengapa menghapus pengelola Rusia dari kernel Linux? Inilah yang dikatakan Torvalds
\”Kami berharap Anda akan lebih jauh ke dalam desain PCC dengan Panduan Keamanan kami, menjelajahi kode sendiri dengan Lingkungan Penelitian Virtual, dan melaporkan masalah apa pun yang Anda temukan melalui Apple Security Bounty,\” kata Apple dalam posnya. \”Kami percaya Private Cloud Compute adalah arsitektur keamanan paling canggih yang pernah diterapkan untuk komputasi cloud AI dalam skala besar, dan kami berharap dapat bekerja dengan komunitas penelitian untuk membangun kepercayaan dalam sistem dan membuatnya bahkan lebih aman dan pribadi dari waktu ke waktu.\”
\”