Video: Yahoo Finance Presents: eBay CEO Jamie Iannone (Oktober 2024)
For et par dager siden rapporterte forskere fra det sveitsiske sikkerhetsfirmaet High-Tech Bridge om et enkelt eksperiment. De tilbrakte en dag på å kjemme Yahoos nettsteder etter bugs, fant tre alvorlige og sendte dem inn til Yahoo, med det formål å evaluere selskapets bug bounty-program. Belønningen deres? 12, 50 dollar per bug, som kan innløses bare på Yahoos firmabutikk. Yahoo har muligens blitt skammet av oppmerksomheten rettet mot denne ynkelig liten belønning, og har løftet feilen. Avhengig av alvorlighetsgraden av det rapporterte problemet, vil forskere nå motta fra $ 150 til $ 15.000 for en rapport. Og ja, det er kontant, ikke t-skjorter.
En personlig takk
I et folksy blogginnlegg av Ramses Martinez, identifisert som "Director, Yahoo Paranoids, " forklarte historien til bug-dusørprogrammet og den nye retningen. "Jeg begynte å sende en t-skjorte som en personlig takk, " sa Martinez. "Jeg kjøpte til og med skjortene med mine egne penger." Senere, fordi noen innsendere allerede hadde mottatt en t-skjorte, "begynte jeg å kjøpe et gavekort slik at de kunne få en annen gave etter eget valg."
Martinez bemerker at det viktigste mange forskere trenger i bytte for å rapportere en feil er "et brev de kunne vise sjefen eller klienten sin." T-skjortene og gavekortene var bare personlig takk på toppen. Når det gjelder selve beviset: "Jeg skriver disse brevene selv."
Ny rapporteringspolicy
Per Martinez 'innlegg, Yahoo hadde allerede innsett feilprisen politikken trengte en oppgradering. "Sikkerhetsteamet var i ferd med å avslutte det reviderte programmet, " sa han. "Heller enn å vente lenger, har vi bestemt oss for å forhåndsvise den nye policyen for sårbarhetsrapportering litt tidlig."
Du kan lese alle detaljer i Martinez sitt innlegg. Yahoo vil effektivisere rapporteringsprosessen, arbeide for å validere rapporter så snart som mulig og jobbe enda hardere for å løse problemer på en riktig måte. De som rapporterer bekreftede feil vil bli kontaktet "ikke mer enn fjorten dager etter innsending (men vanligvis mye raskere)" og vil motta formell anerkjennelse fra Yahoo. "For de best rapporterte problemene, vil vi direkte kalle fra vår side individets bidrag i en 'hall of fame.'"
Ikke flere t-skjorter eller swag som belønning. "Yahoo vil nå belønne enkeltpersoner og firmaer som identifiserer det vi klassifiserer som nye, unike og / eller høyrisikospørsmål mellom $ 150 - $ 15 000." Når det gjelder størrelsen på skuddprisen, vil det "bestemmes av et klart system basert på et sett med definerte elementer som fanger alvorlighetsgraden av problemet." Denne politikken trer i kraft i slutten av oktober og vil være tilbakevirkende kraft til 1. juli 2013. "Dette inkluderer selvfølgelig en sjekk for forskerne ved High-Tech Bridge som ikke likte t-skjorten min, " spurte Martinez.
En definitiv forbedring
"Vi gjorde ikke forskningen vår for penger, som vi tydelig sa til Yahoo mens vi rapporterte om sårbarhetene, " sa leder av High-Tech Bridge, Ilia Kolochenko. "Vi er imidlertid glade for at Yahoo nå introduserer et nytt Bug Bounty-program som vil lette deres forhold til sikkerhetsforskere og hjelpe dem med å forbedre bedriftens sikkerhet. Det er absolutt gode nyheter."
Faktum gjenstår imidlertid at andre store aktører utbetaler mye større feilbeløp. Microsoft holdt ut lenge, men innførte tidligere i år en dusør på opptil 100 000 dollar. Facebook har betalt over en million dollar i feilbeløp, og Google har angivelig betalt over to millioner. På baksiden er Apples belønning til de som finner betydelige feil berømmelse, ikke noe mer. Yahoos nye plan faller et sted i midten; vi får se hvordan det fungerer for dem.
