Video: Suspense: Blue Eyes / You'll Never See Me Again / Hunting Trip (Lokakuu 2024)
Pari päivää sitten sveitsiläisen turvallisuusyrityksen High-Tech Bridge tutkijat kertoivat yksinkertaisesta kokeilusta. He viettivät päivän kammatamalla Yahoon verkkosivustoja virheiden varalta, löysivät kolme vakavaa sivua ja lähettäneet ne Yahooon arvioidakseen yrityksen vikapalkkio-ohjelmaa. Heidän palkkansa? 12, 50 dollaria per virhe, lunastettavissa vain Yahoon yrityskaupasta. Mahdollisesti häpeättynä tähän säälittävän pieneen palkkioon kohdistuvasta huomiosta, Yahoo on nostanut virheen palkkion. Ilmoitetun ongelman vakavuudesta riippuen tutkijat saavat nyt 150–15 000 dollaria raportista. Ja kyllä, se on käteisellä, ei t-paitoja.
Henkilökohtainen kiitos
Ramses Martinezin hienosti julkaistussa blogikirjoituksessa, joka tunnistettiin "johtajaksi, Yahoo Paranoids", selitettiin vikapalkkio-ohjelman historiaa ja sen uutta suuntaa. "Aloin lähettää t-paitoja henkilökohtaisena kiitoksena", sanoi Martinez. "Ostin paitoja jopa omalla rahalla." Myöhemmin, koska jotkut lähettäjät olivat jo saaneet t-paidan, "aloin ostaa lahjakortin, jotta he voisivat saada toisen valitsemansa lahjan."
Martinez toteaa, että tärkein asia, jota monet tutkijat tarvitsevat vastineeksi ilmoittamisesta virheestä, on "kirje, jonka he voivat näyttää pomolleen tai asiakkaalleen". T-paidat ja lahjakortit olivat vain henkilökohtaisia kiitoksia. Mitä todelliseen todisteeseen kuuluu: "Kirjoitan nämä kirjeet itse".
Uusi raportointikäytäntö
Per Martinezin viestin mukaan Yahoo oli jo tajunnut, että vikapalkkiokäytäntö tarvitsi päivityksen. "Turvallisuusryhmä oli viimeistely tarkistetulle ohjelmalle", hän sanoi. "Sen sijaan, että odottaisimme kauemmin, olemme päättäneet esikatsella uutta haavoittuvuuksien ilmoittamista koskevaa käytäntöä vähän aikaisin."
Voit lukea yksityiskohdat Martinezin viestistä. Yahoo virtaviivaistaa raportointiprosessia, pyrkii vahvistamaan raportit mahdollisimman pian ja työskentelee entistä kovemmin ongelmien ratkaisemiseksi ajoissa. Varmennettujen virheiden ilmoittamiseen otetaan yhteyttä "enintään neljäntoista päivän kuluessa lähettämisestä (mutta yleensä paljon nopeammin)", ja he saavat virallisen tunnustuksen Yahoo: lta. "Parhaan ilmoitetun ongelman vuoksi kutsumme suoraan sivustollemme yksilön panoksen" kuuluisuussalissa "."
Myöskään enempää t-paitoja tai swagia palkkiona. "Yahoo palkitsee nyt henkilöitä ja yrityksiä, jotka tunnistavat, mitä luokittelemme uusiksi, ainutlaatuisiksi ja / tai korkean riskin aiheiksi, välillä 150-15 000 dollaria." Palkkion koon osalta se "määritetään selkeällä järjestelmällä, joka perustuu joukkoon määriteltyjä elementtejä, jotka kuvaavat ongelman vakavuuden". Tämä käytäntö tulee voimaan lokakuun loppuun mennessä, ja se on taannehtiva 1. heinäkuuta 2013 saakka. "Tämä sisältää tietysti tarkistuksen High-Tech Bridge -sivustolla oleville tutkijoille, jotka eivät pitäneet t-paitistani", quinc Martinez.
Selkeä parannus
"Emme tehneet tutkimusta rahoillamme, kuten sanoimme selvästi Yahoo: lle ilmoittaessamme haavoittuvuuksista", totesi High-Tech Bridgen toimitusjohtaja Ilia Kolochenko. "Olemme kuitenkin iloisia, että Yahoo esittelee nyt uuden Bug Bounty -ohjelman, joka helpottaa heidän suhteitaan turvallisuustutkijoihin ja auttaa heitä parantamaan yrityksen turvallisuutta. Se on ehdottomasti hyvä uutinen."
Tosiasia on kuitenkin, että muut suuret pelaajat maksavat paljon suurempia virheitä. Microsoft kannatti pitkään, mutta aiemmin tänä vuonna otti palkkion jopa 100 000 dollaria. Facebook on maksanut yli miljoona dollaria vikailmoituksia, ja Google on ilmoittanut maksavan yli kaksi miljoonaa. Kääntöpuolella Apple-palkinto niille, jotka löytävät merkittäviä vikoja, on kuuluisuus, ei muuta. Yahoon uusi suunnitelma putoaa jonnekin keskelle; näemme kuinka se toimii heille.
