Yahoo opouští tričko za informace o zranitelnosti

Yahoo přestane dávat trička jako odměnu za nalezení bezpečnostních zranitelností poté, co veřejná hanba nazývá „bránu trička“. Společnost získala drifting od švýcarské bezpečnostní společnosti High-Tech Bridge poté, co v síti Yahoo našla čtyři vážná zranitelná místa , které již byly opraveny. Tři z těchto problémů - chyby skriptování mezi weby - mohly útočníkovi umožnit únos e-mailového účtu Yahoo.

Počínaje 31. říjnem bude společnost Yahoo platit za zranitelnosti odměny v rozmezí od 150 do 15 000 USD za předpokladu, že tyto nedostatky jsou nové, jedinečné nebo vysoké riziko. Plánuje retroaktivně odměnit vědce, kteří oznámili společnosti problémy, které sahají až do 1. července, napsal ve středu blogový příspěvek Ramses Martinez, ředitel bezpečnostního týmu Yahoo..

"To samozřejmě zahrnuje kontrolu vědců na High-Tech Bridge, kteří neměli rádi moje tričko," napsal Martinez.

High-Tech Bridge vydal v pondělí tiskovou zprávu, v níž uvedl, že Yahoo nabízí kredit 12,50 $ za zranitelnost, kterou lze použít na předměty značky Yahoo, jako jsou trička, poháry a pera z jejího obchodu..

Výsledkem je, že High-Tech Bridge řekl, že to vydrží další výzkum v síti Yahoo. Společnost napsala, že odměna Yahoo byla „špatným vtipem“.

Výkonná ředitelka High-Tech Bridge Ilia Kolochenko řekla e-mailem, že nehledá finanční odměnu za nálezy své společnosti, ale je potěšen, že Yahoo zlepšuje komunikaci s bezpečnostními vědci.

„Je to dobré znamení,“ napsal

Mnoho velkých společností, jako jsou Google a Facebook, nabízejí lukrativní odměny za informace o zranitelnosti. Google zaplatí až 20 000 USD za zranitelnou chybu a Facebook zaplatí minimálně 500 USD.

Pro společnosti je levnější platit za informace o zranitelnosti než najímat výzkumné pracovníky na plný úvazek. Pomáhá také vědcům odradit se od hackerských fór, aby zpeněžit své informace tam, kde by to mohlo být použito k poškození zdraví.

Yahoo nikdy neměl formální proces pro rozpoznávání výzkumných pracovníků v oblasti bezpečnosti. Martinez napsal, že začal vědcům zasílat trička, aby jim poděkoval.

„Dokonce jsem si koupil košile za vlastní peníze,“ napsal.

Společnost Yahoo se však nedávno rozhodla vylepšit svůj program hlášení chyb. Zatímco Yahoo jednal rychle s informacemi o zranitelnosti, které obdržel, „můj nápad„ poslat tričko “vyžadoval upgrade,“ napsal Martinez.

„Tento měsíc bezpečnostní tým prováděl dokončené úpravy revidovaného programu,“ napsal. „A pak včera ráno zasáhla brána v tričku. Moje doručená pošta byla plná rozzlobených e-mailů od lidí uvnitř a z Yahoo. Jak se opovažuji posílat lidem jen tričko jako poděkování?“

Yahoo také plánuje vylepšit svou webovou stránku, na kterou mohou vědci zasílat bezpečnostní otázky. Vědci budou kontaktováni do dvou týdnů, napsal Martinez. Ti, kteří úspěšně podají platné nedostatky, mohou také získat e-mail nebo písemný dopis, než mohou být použity jako reference pro jejich práci.

"Pro nejlepší nahlášené problémy, budeme přímo volat z našeho webu příspěvek jednotlivce v 'síni slávy,'" napsal.

Zasílejte novinky a komentáře na [email protected] Sledujte mě na Twitteru: @jeremy_kirk

Připojte se ke komunitám World World na Facebooku a LinkedIn a přidávejte komentáře k tématům, která jsou na prvním místě.