Kelompok peretas dan penguji keamanan digital telah melakukan riset selama 3 bulan mengenai celah keamanan di web Apple dan beragam layanan mereka selama 3 bulan.
Dalam waktu tersebut, mereka menemukan 55 celah keamanan di Apple.
Celah tersebut dilaporkan lewat Security Bouty Program alias program untuk melaporkan celah keamanan yang dibuat Apple agar bisa segera diperbaiki dan pihak yang melaporkan akan mendapatkan imbalan.
Kelompok tersebut berisi 5 orang bernama Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb dan Tanner Barnes.
Total selama 3 bulan, mereka menemukan 55 celah keamanan di website Apple.com, web Apple lainnya dan beragam layanan keamanan Apple.
Baca Juga: Apple Buka Bug Bounty Program Untuk Umum, Berhadiah 1 Juta Dolar
Untuk hasil temuan dan laporan tersebut, total uang yang didapatkan dari Apple sejumlah lebih dari $55 ribu atau sekitar 800 juta Rupiah.
Dalam catatan di laman samcurry.net yang telah dijinkan oleh Apple, Sam Curry membagikan catatan panjang mengenai riset celah keamanan yang dilakukan bersama timnya.
Dalam rangkumannya, Sam mengatakan bahwa sejak awal Apple sangat responsif dalam setiap laporan yang dia berikan dan melakukan penutupan celah keamanan.
Dalam beberapa kasus celah keamanan yang kritikal, Apple hanya perlu waktu singkat atau 4 jam saja untuk membereskan masalahnya.
Overall, Apple was very responsive to our reports. The turn around for our more critical reports was only four hours between time of submission and time of remediation.Sam juga menjelaskan bahwa Apple membayar biaya Bounty Program untuk mereka secara bertahap dan terbuka untuk masukan serta laporan berikutnya jika ditemukan celah keamanan lainnya.
Baca Juga: Insinyur Apple Jelaskan Sejarah Fitur Security Code AutoFill di iOS
Dari 55 celah keamanan yang ditemukan, detailnya adalah 11 laporan celah keamanan tingkat kritis, 29 tinggi, 12 sedang, 2 rendah.
Total hingga 4 Oktober lalu, Apple telah membayar Sam dan timnya dengan nominal $51.500 dengan laporan celah keamana sebagai berikut:
- $5,000 - Disclosing the Full Name of iCloud users via Editor Invitation on redacted
- $6,500 - Gopher/CRLF Semi-Blind SSRF with Access to Internal Corporate Environments
- $6,000 - IDOR on https://redacted/
- $34,000 - Multiple eSign environments vulnerable to system memory leaks containing secrets and customer data due to public-facing actuator heapdump, env, and trace