Видео: HUGE EGGS Surprise Toys Challenge with Inflatable water slide (Октября 2024)
Исследователи безопасности, которые специализируются на тестировании на проникновение, проводят свои дни (и ночи), пытаясь взломать системы безопасности. Если они находят дыру в безопасности продукта раньше, чем злоумышленники, это дает производителю продукта время на выпуск патча. Что в этом для исследователя? Возможно, за 100 000 долларов за ошибку, если проблема была в продукте Microsoft. Исследователи из High-Tech Bridge, компании, занимающейся службами безопасности и тестирования на проникновение, сообщают, что Yahoo также предлагает вознаграждение за ошибки. Первый репортер ошибки, поддающейся проверке, получает… $ 12.50, который можно обменять только в фирменном магазине Yahoo на «корпоративные футболки, чашки, ручки и другие аксессуары». Действительно, Yahoo?
Быстро треснул
На веб-странице Security at Yahoo сообщается о мерах безопасности, уже предпринятых компанией, а также содержится ряд советов. Люди, которые думают, что их учетные записи были взломаны или скомпрометированы, могут связаться с Yahoo с этой страницы за помощью. В нем также говорится: «Если вы являетесь членом сообщества безопасности и вам необходимо сообщить о технической уязвимости, свяжитесь с нами по адресу [email protected]».
Чтобы оценить систему Bug Bounty, исследователи High-Tech Bridge сели и начали искать дыры в безопасности на сайтах Yahoo. Они нашли один сразу, но об этом уже сообщалось. В течение еще нескольких дней они обнаружили еще три уязвимости межсайтового скриптинга, все новые. (Разве это не немного тревожно само по себе?) Согласно отчету, «каждая из обнаруженных уязвимостей позволяла скомпрометировать любую учетную запись электронной почты @ yahoo.com, просто отправив специально созданную ссылку вошедшему в систему пользователю Yahoo». Когда пользователь нажимает на эту ссылку, игра заканчивается.
Исследователи Yahoo подтвердили, что эти уязвимости действительно существовали (с тех пор они были исправлены). Они поблагодарили исследовательскую группу и поблагодарили ее за вознаграждение в размере 12, 50 долл. США, которое можно погасить в фирменном магазине. Исследователи не были впечатлены; В отчете говорится: «На данный момент мы решили отложить дальнейшие исследования».
Большие награды
Microsoft заплатит 100 000 долларов за некоторые отчеты. Facebook выплатил более миллиона долларов. Apple не платит вознаграждение за ошибки, но вознаграждает «ответственное раскрытие» известностью. Для меня политика Apple безналичной справедливой славы кажется лучше, чем награждение.
«Yahoo, вероятно, следует пересмотреть свои отношения с исследователями в области безопасности», - прокомментировал Илья Колоченко, генеральный директор High-Tech Bridge. «Платить несколько долларов за уязвимость - плохая шутка, и она не побуждает людей сообщать им об уязвимостях безопасности, особенно когда такие уязвимости можно легко продать на черном рынке по гораздо более высокой цене». Он приходит к выводу, что если Yahoo не тратит больше средств на корпоративную безопасность, «никто из клиентов Yahoo не сможет чувствовать себя в безопасности».
Другие компании требовали от нас усилий, чтобы понять, что щедрость багов окупается. Несколько лет назад Facebook предлагал всего 500 долларов. Совсем недавно один исследователь, которому Facebook отказали в награде, продемонстрировал свое открытие, разместив сообщение на стене Марка Цукерберга. Брайан Мартин, президент Open Security Foundation, отметил, что «даже Microsoft, которая была самой печально известной сторонницей программ по вознаграждению за ошибки, осознала эту ценность и опередила остальных, предложив до 100 000 долларов». Далее он сказал: «Некоторые из этих компаний платят своим уборщикам больше денег за уборку своих офисов, чем исследователи в области безопасности, которые находят уязвимости, которые могут подвергнуть риску тысячи их клиентов».
Я должен согласиться. Если поставщики не будут платить за открытия исследователями в области безопасности, наверняка найдутся и другие. Мы не хотим, чтобы эти умные исследователи обратились к Темной стороне, чтобы накормить своих детей.
