Прошел почти год с того момента, как компания Apple объявила о вступлении в силу выплат по программе bug bounty, однако, исследование, проведенное сайтом Motherboard, показывает, что большинство исследователей предпочитают не делиться информацией о найденных уязвимостях с Apple. Причиной тому являются низкие выплаты, предусмотренные за них. По словам исследователей, гораздо больше денег можно получить, продавая уязвимости программного обеспечения Apple третьим сторонам.
По словам Найкиаса Бассена (Nikias Bassen), исследователя из компании Zimperium, который присоединился к программе Apple в прошлом году, большинство специалистов, которые зарабатывают тем, что ищут уязвимости в ПО, просто не продают найденные баги напрямую Apple.
Журналисты с Motherboard общались также с некоторыми другими исследователями, работающими в этой области, все они пожелали остаться неизвестными и сообщили, что не передают информацию о найденных ошибках непосредственно Apple и у них нет коллег, которые это делают.
А по словам Патрика Уордла (Patrick Wardle) из Synack, ошибки IOS «слишком ценны, чтобы сообщать о них Apple».
Свою программу bug bounty Apple представила в августе 2016 на конференции Black Hat. В зависимости от найденной уязвимости за нее можно получить до 200 000$ максимум, тогда как за более мелкие уязвимости компания платит 25 000$.