セキュリティウォッチ ヤフーは悲しいバグ報奨金を提供しています:会社の盗品で12.50ドル

ヤフーは悲しいバグ報奨金を提供しています:会社の盗品で12.50ドル

ビデオ: Dame la cosita aaaa (十一月 2024)

ビデオ: Dame la cosita aaaa (十一月 2024)
Anonim

侵入テストを専門とするセキュリティ研究者は、セキュリティシステムを破壊しようと日々(および夜)過ごします。 悪者がやる前に製品にセキュリティホールが見つかった場合、製品のメーカーはパッチをプッシュする時間ができます。 研究者にとってそれは何ですか? 問題がMicrosoft製品にあった場合、100, 000ドルのバグ報奨金が支払われる可能性があります。 セキュリティサービスと侵入テストの会社であるHigh-Tech Bridgeの研究者は、Yahooにもバグの恩恵があると報告しています。 検証可能なセキュリティバグの最初の報告者は$ 12.50を取得し、Yahooの会社の店でのみ「企業のTシャツ、カップ、ペン、その他のアクセサリー」と交換できます。 本当にヤフー?

すぐに割れた

Yahoo Webページのセキュリティでは、会社がすでに行ったセキュリティ手順と、一連のヒントを報告しています。 アカウントがハッキングまたは侵害されたと考える個人は、このページからYahooに連絡して支援を求めることができます。 また、「セキュリティコミュニティのメンバーであり、技術的な脆弱性を報告する必要がある場合は、security @ yahoo-inc.comに連絡してください。」

Bug Bountyシステムを評価するために、ハイテクブリッジの研究者は座って、YahooのWebサイトのセキュリティホールを探し始めました。 彼らはすぐに見つけましたが、すでに報告されていました。 さらに2日間で、さらに3つのクロスサイトスクリプティングの脆弱性が見つかりました。 (それ自体は少し心配ではありませんか?)レポートによると、「発見された各脆弱性により、ログインしたYahooユーザーに特別に細工されたリンクを送信するだけで、@ yahoo.comの電子メールアカウントが侵害されました。」 ユーザーがそのリンクをクリックすると、ゲームオーバーになります。

Yahooの研究者は、これらの脆弱性が実際に存在したことを確認しました(その後修正されました)。 彼らは研究チームに心からの感謝と、バグごとに12.50ドルの賞金を提供し、会社の店舗で引き換えました。 研究者は感銘を受けなかった。 レポートには、「この時点で、さらなる調査を控えることにした」とあります。

大きいボーナス

マイクロソフトは、一部のレポートに対して100, 000ドルの報奨金を支払います。 Facebookは100万ドル以上を支払いました。 Appleはバグの報奨金を支払いませんが、「責任ある開示」に名誉を与えます。 私にとって、Appleのノーキャッシュジャストフェイムポリシーは、チャンプの変更を授与するよりも良いようです。

「Yahooはおそらくセキュリティ研究者との関係を修正すべきだ」とハイテクブリッジのCEOであるIlia Kolochenkoはコメントした。 「脆弱性ごとに数ドル支払うことは悪い冗談であり、特にそのような脆弱性がはるかに高い価格で闇市場で簡単に販売できる場合、人々にセキュリティ脆弱性を報告するように動機付けません。」 彼は、ヤフーが企業のセキュリティにこれ以上投資しなければ、「ヤフーの顧客は誰も安心できない」と結論付けています。

他の企業は、バグの報奨金が大きな成果を上げることを認識するためにプロディングを要求しています。 数年前、Facebookはたったの500ドルを提供していた。 最近では、Facebookからの賞金を拒否された1人の研究者が、Mark Zuckerbergの壁に投稿することで彼の発見を実証しました。 Open Security Foundationのブライアンマーティン社長は、「バグ報奨金プログラムで最も悪名高いホールドアウトであったマイクロソフトでさえ、その価値を認識し、最大10万ドルを提供して残りの部分を先取りしました」と述べました。 「これらの企業の一部は、何千人もの顧客を危険にさらす可能性のある脆弱性を発見するセキュリティ研究者よりも、オフィスの清掃に多くのお金を管理人に支払っています。」

同意しなければなりません。 ベンダーがセキュリティ研究者による発見にお金を払わない場合、確かに他の人がいます。 彼らの賢い研究者が子供たちを養うためにダークサイドに目を向けて欲しくありません。

ヤフーは悲しいバグ報奨金を提供しています:会社の盗品で12.50ドル