Apple ประกาศขยายโครงการ bug bounty ใหม่ให้เป็นโครงการเปิดอย่างสมบูรณ์แบบ เพื่อให้นักวิจัยด้านความปลอดภัยหรือบุคคลที่สนใจเข้ามาร่วมได้ โดยเงินรางวัลสูงสุดของโครงการในเกณฑ์มาตรฐานอยู่ที่ 1 ล้านดอลลาร์ บวกกับรางวัลโบนัสสูงสุด 50% เป็น 1.5 ล้านดอลลาร์

Apple เปิดโครงการ bug bounty มาตั้งแต่ปี 2016 โดยเปิดให้เฉพาะนักวิจัยที่ได้รับเชิญเท่านั้น และเมื่อช่วงเดือนสิงหาคมที่ผ่านมา Apple เพิ่งจะขยายโครงการ ให้ครอบคลุมระบบปฏิบัติการอื่นคือ iPadOS, macOS, tvOS และ watchOS เพิ่มเติมจากเดิมที่มีเฉพาะ iOS และยังรวมไปถึงบริการอย่าง iCloud ด้วย ซึ่งครั้งนี้เป็นการขยายโครงการอีกครั้งโดยเปิดให้ผู้ที่สนใจเข้ามาร่วมโครงการได้โดยไม่จำเป็นต้องได้รับคำเชิญจาก Apple

รายละเอียดของโครงการนี้ Apple ได้ลงไว้ที่ Apple Developer ซึ่งผู้ที่ค้นพบและรายงานเข้ามาจะต้องอธิบายรายละเอียดของปัญหาที่พบให้ชัดเจนและมากพอที่ Apple จะทดลองทำซ้ำได้

ส่วนเกณฑ์รางวัลนั้น รางวัลสูงสุดคือ 1 ล้านดอลลาร์จะมอบให้ช่องโหว่ที่สามารถใช้ควบคุมอุปกรณ์ได้โดยผู้ใช้ไม่ต้องทำอะไรหรือ zero-click attack รางวัลจะพิจารณาจำนวนแพลตฟอร์มที่ได้รับผลกระทบ, การส่งผลต่อฮาร์ดแวร์และซอฟต์แวร์เวอร์ชันล่าสุด และความรุนแรงของช่องโหว่ ซึ่งถ้าพบช่องโหว่ในซอฟต์แวร์เวอร์ชันเบต้าอาจพิจารณาโบนัสเพิ่มอีก 50% จากเกณฑ์รางวัลมาตรฐานหากเป็นปัญหาที่ Apple ไม่รับทราบมาก่อน

อัพเดต 22 ธันวาคม 15:54: แก้ข้อผิดพลาดเกี่ยวกับรางวัลโบนัส

ที่มา - Apple Developer, The Verge

ภาพจาก Apple