«Собрали фидбек и пропали»: как Apple оставила русского хакера без вознаграждения за передачу данных об утечках компании

— Как вас занесло на эти хакерские ресурсы, где выкладывались прототипы и разработки Apple? 

— Меня ещё в школе заинтересовал пост о разблокировке залоченных смартфонов на одном из форумов. Если откинуть перспективы вознаграждений, публичности и прочего, что-то было такое особое в том, чтобы завладеть чем-либо внутренним. После по нарастающей расширялся круг знакомств, а данных попадало в руки больше.

— Вы контактировали с Apple более трёх лет и ни разу вам не выплатили «гонорар»? Насколько я знаю, тот же Facebook довольно оперативно реагирует на сообщения об уязвимостях и вознаграждает нашедших их.

— У той же команды product security (безопасность в отношении продукта. — RT) есть один достаточно известный нюанс работы: вы находите уязвимость, отправляете отчёт в ожидании того, что это попадёт под bug bounty program (программа по отлову багов. — RT), но в итоге ответа не получаете, а уязвимость тихонечко закрывают патчем.

В 2017 году со мной связался некий марокканец и попросил помочь настроить внутренний VPN на своём аккаунте сотрудника. Оказалось, что этих аккаунтов у него было много — и все получены фишингом (он отправлял e-mail и смс, которые имитировали что-то от Apple, заходил на портал AppleWeb, на котором есть виджет с директорией сотрудников, и брал оттуда новые адреса и номера).

• Reuters
• © Andrew Kelly

Я его зарепортил, со мной связался Томас Мойер (руководитель службы безопасности Apple. — RT) и выделил небольшую команду. Они собрали фидбек и пропали, по сути. Позже тихонько сделали обязательной двухфакторную аутентификацию для всех аккаунтов, ужесточили процедуру добавления устройств к аккаунту и снесли некоторые ретейл-системы, в которых в процессе также нашлись дыры.

— Основные сливы происходят в Китае, верно? Но в сети пишут, что на заводах, где делают устройства Apple, довольно жёсткий контроль безопасности. Получается, что это не так?

— Основной поток из Китая, так как, несмотря на жёсткий контроль, всегда находятся «знакомые», которые помогают заинтересованным сторонам. По сути, коррупция в некой мере, которая доходит до менеджмента отдельных объектов сборки/хранения.

— Вы добровольно стали шпионом для Apple. Что вы чувствовали, когда передавали им информацию об очередной утечке? И как думаете, как они к вам относились уже по прошествии времени?

— Отношения с отделом безопасности я возобновил в 2020 году по собственной инициативе. Меня перестал устраивать тот факт, что в какой-то мере я всё ещё был финансово зависим от своего «хобби». План был достаточно простой: выложить все карты, помочь залатать дыры и получить билет в более комфортное существование.

Под конец общения с предоставленной командой из двоих отношения слишком сильно пострадали. Меня не устраивало, что они никогда не давали чётких ответов, ссылаясь на COVID-19 и то, что так как я — «нестандартная ситуация вне установленных протоколов, нужно созвать совещание тех, у кого есть исполнительные полномочия для обсуждения вопроса».

— Вы действительно думаете, что из-за вашего сообщения могли уволить сотрудника в Германии, который работал над Google Maps?

— Apple Maps — и да. Человек хотел воспользоваться положением и корпоративными доступами, чтобы немного заработать. Я выступил сначала в роли заинтересованной стороны, затем «другом», который поможет найти покупателей. Насколько помню, его дело закрыли менее чем через неделю после моего отчёта, и с увольнением. Так как он не знал, на чём конкретно попался, и не знал, что это сделал я, мы продолжили общение, так что я получил обратную связь и со стороны службы безопасности, и с его.