Video: Path of Exile 3.12: HEIST DAY #65-68 Highlights GAUNTLET 7-END FINAL STANDING "A SINGLE WHITE MOB!?" (Oktober 2024)
Sikkerhetsforskere som spesialiserer seg på penetrasjonstesting bruker sine dager (og netter) på å prøve å bryte sikkerhetssystemer. Hvis de finner et sikkerhetshull i et produkt før skurkene gjør det, gir det produktets produsent tid til å skyve ut en lapp. Hva er det for forskeren? Kanskje en $ 100.000 insektbeløp hvis problemet var i et Microsoft-produkt. Forskere ved High-Tech Bridge, et firma for sikkerhetstjenester og penetrasjonstesting, rapporterer at Yahoo også tilbyr en bug-bounty. Den første reporteren av en verifiserbar sikkerhetsfeil blir… 12, 50 dollar, kun innløses i Yahoos firmabutikk for "t-skjorter, kopper, penner og annet tilbehør." Virkelig, Yahoo?
Raskt sprukket
Websiden Security at Yahoo rapporterer om sikkerhetstrinn som allerede er tatt av selskapet, sammen med en samling tips. Personer som tror at kontoene deres er hacket eller kompromittert, kan kontakte Yahoo fra denne siden for å få hjelp. Den sier også: "Hvis du er medlem av sikkerhetsfellesskapet og trenger å rapportere et teknisk sikkerhetsproblem, kan du kontakte: [email protected]."
For å evaluere Bug Bounty-systemet satte High-Tech Bridge forskere seg ned og begynte å lete etter sikkerhetshull på Yahoos nettsteder. De fant en med en gang, men det var allerede rapportert. I løpet av ytterligere et par dager fant de ytterligere tre sikkerhetsproblemer på tvers av nettsteder, alle nye. (Er det ikke litt alarmerende i seg selv?) Ifølge rapporten, "Hver av de oppdagede sårbarhetene tillot at @ @ yahoo.com e-postkontoer kompromitteres ganske enkelt ved å sende en spesiallaget lenke til en pålogget Yahoo-bruker." Når brukeren klikker på lenken, er spillet over.
Yahoos egne forskere bekreftet at disse sårbarhetene virkelig eksisterte (de har siden blitt fikset). De tilbød forskerteamet en hjertelig takk og en pris på $ 12, 50 per bug, som kan innløses i firmabutikken. Forskerne var ikke imponert; rapporten sier: "På dette tidspunktet bestemte vi oss for å fortsette med videre forskning."
Større premier
Microsoft vil betale en beløp på $ 100 000 for noen rapporter. Facebook har betalt ut over en million dollar. Apple betaler ikke feilbeløp, men belønner "ansvarlig avsløring" med berømmelse. For meg virker Apples ikke-cash just-fame-policy bedre enn å tildele chump-endring.
"Yahoo burde sannsynligvis revidere sine forhold til sikkerhetsforskere, " sa Ilia Kolochenko, administrerende direktør for High-Tech Bridge. "Å betale flere dollar per sårbarhet er en dårlig vits og vil ikke motivere folk til å rapportere sikkerhetssårbarheter til dem, spesielt når slike sårbarheter lett kan selges på det svarte markedet for en mye høyere pris." Han konkluderer med at hvis Yahoo ikke bruker mer på bedriftens sikkerhet, "kan ingen av Yahoos kunder noensinne føle seg trygge."
Andre selskaper har krevd å anskaffe for å innse at bug-belønninger lønner seg stort. For noen år siden tilbød Facebook bare 500 dollar. Nyere demonstrerte en forsker, nektet en dusør av Facebook, hans oppdagelse ved å legge ut på Mark Zuckerbergs vegg. Brian Martin, president for Open Security Foundation, bemerket at "Selv Microsoft, som var den mest beryktede holdingen på bug-dusørprogrammer, skjønte verdien og hoppet foran resten og ga opp til $ 100.000." Han fortsatte med å si: "Noen av disse selskapene betaler vaktmestrene mer penger for å rengjøre kontorene sine, enn de gjør sikkerhetsforskere som finner sårbarheter som kan sette tusenvis av kundene deres i fare."
Jeg må være enig. Hvis leverandører ikke vil betale for funn fra sikkerhetsforskere, er det absolutt andre som vil gjøre det. Vi vil ikke at de smarte forskerne henvender seg til Dark Side for å mate barna sine.
