Дом Securitywatch Yahoo стыдилась поднять жалко маленькую ошибку Баунти

Yahoo стыдилась поднять жалко маленькую ошибку Баунти

Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Ноябрь 2024)

Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Ноябрь 2024)
Anonim

Пару дней назад исследователи из швейцарской охранной фирмы High-Tech Bridge сообщили о простом эксперименте. Они потратили день на то, чтобы прочесать веб-сайты Yahoo на предмет ошибок, нашли три серьезных и отправили их в Yahoo для оценки программы вознаграждения за ошибки компании. Их награда? $ 12, 50 за ошибку, выкупаемую только в фирменном магазине Yahoo. Возможно, стыдно за внимание, направленное на эту ничтожно малую награду, Yahoo подняла награду за ошибку. В зависимости от серьезности сообщенной проблемы, исследователи теперь получат от 150 до 15 000 долларов за отчет. И да, это наличными, а не футболками.

Личное спасибо

В простом сообщении в блоге Рамсеса Мартинеса, названного «Директор Yahoo Paranoids», рассказывается об истории программы баунти-багов и ее новом направлении. «Я начал посылать футболку как личное« спасибо », - сказал Мартинес. «Я даже купил рубашки на свои деньги». Позже, поскольку некоторые авторы уже получили футболку, «я начал покупать подарочный сертификат, чтобы они могли получить еще один подарок по своему выбору».

Мартинес отмечает, что главное, что нужно многим исследователям в обмен на сообщение об ошибке, - это «письмо, которое они могут показать своему боссу или клиенту». Футболки и подарочные сертификаты были просто личными благодарностями сверху. Что касается фактического доказательства, «я пишу эти письма сам».

Новая политика отчетности

Согласно сообщению Мартинеса, Yahoo уже поняла, что политика вознаграждения за ошибки требует обновления. «Сотрудники службы безопасности вносили последние изменения в пересмотренную программу», - сказал он. «Вместо того, чтобы больше ждать, мы решили предварительно просмотреть нашу новую политику отчетности об уязвимостях».

Вы можете прочитать полную информацию в посте Мартинеса. Yahoo упростит процесс составления отчетов, постарается проверить отчеты как можно скорее и еще усерднее работать над своевременным решением проблем. С сообщениями о подтвержденных ошибках свяжутся «не позднее, чем через четырнадцать дней после отправки (но обычно намного быстрее)» и получат официальное признание от Yahoo. «Для решения наиболее известных проблем мы будем напрямую вызывать с нашего сайта вклад человека в« Зал славы »».

Кроме того, больше не футболки или хабар в качестве награды. «Теперь Yahoo вознаградит частных лиц и фирмы, которые идентифицируют то, что мы классифицируем как новые, уникальные и / или высокорисковые проблемы в диапазоне от 150 до 15 000 долларов». Что касается размера щедрости, это «будет определяться четкой системой, основанной на наборе определенных элементов, которые отражают серьезность проблемы». Эта политика вступит в силу к концу октября и будет иметь обратную силу до 1 июля 2013 года. «Это включает, конечно, проверку для исследователей из High-Tech Bridge, которым не понравилась моя футболка», - сказал Мартинес,

Определенное улучшение

«Мы не занимались исследованиями ради денег, как мы четко сказали Yahoo, сообщая об уязвимостях», - отметил генеральный директор High-Tech Bridge Илья Колоченко. «Однако мы рады, что Yahoo сейчас представляет новую программу Bug Bounty Program, которая облегчит их отношения с исследователями в области безопасности и поможет им улучшить корпоративную безопасность. Это определенно хорошая новость».

Тем не менее, факт остается фактом: другие крупные игроки выплачивают гораздо больше премий. Microsoft долго держалась, но в начале этого года учредила награду в размере до 100 000 долларов. Facebook заплатил более миллиона долларов за вознаграждение, а Google, по сообщениям, заплатил более двух миллионов. С другой стороны, награда Apple тем, кто находит существенные ошибки, - это слава, не более того. Новый план Yahoo находится где-то посередине; посмотрим, как у них это получится.

Yahoo стыдилась поднять жалко маленькую ошибку Баунти