Исследователь безопасности получил лишь $1000 за критическую уязвимость в Safari

Исследователь безопасности под ником Renwa обнаружил несколько серьёзных уязвимостей в браузере Safari и операционной системе Sequoia от Apple. Среди них была критическая проблема, позволявшая злоумышленникам обходить политику Same Origin Policy с помощью атаки UXSS (Universal Cross-site Scripting). Эта уязвимость получила максимальный балл 9.8 по шкале CVSS, что указывает на её крайнюю опасность.

Несмотря на серьёзность находки, Apple выплатила исследователю вознаграждение в размере всего $1000 (примерно 80 000 рублей). В своём посте в X (бывший Twitter) Renwa с иронией написал: «Пора бросить это дело с баг-баунти и найти нормальную работу».

«Я должен бросить это баг-баунти и найти нормальную работу»

Сумма выглядит особенно скромной на фоне того, что Apple предлагает до $1 млн (80 млн рублей) за обнаружение уязвимостей в своих Private Cloud Compute серверах. Для сравнения, Google недавно выплатил $1000-2000 за обнаружение менее критичных проблем в Chrome.

Другие компании демонстрируют более щедрый подход к вознаграждениям за обнаружение уязвимостей. Например, Valve в 2021 году заплатила $7500 за обнаружение бага, позволявшего создавать бесконечные средства в Steam Wallet, а в 2022 году Rockstar наградила игрока GTA Online $10000 за помощь в ускорении загрузки игры.

Apple признала заслуги исследователя в обновлении безопасности Safari 18.4, где указала, что уязвимость CVE-2025-30466 была устранена путём «улучшения управления состоянием».