ヤフーは哀れな小さなバグ報奨金を上げることに恥じた

数日前、スイスのセキュリティ会社ハイテクブリッジの研究者が簡単な実験について報告しました。 彼らは1日を費やしてYahooのWebサイトにバグを見つけ、3つの重大なバグを見つけ、会社のバグ報奨金プログラムを評価する目的でYahooに提出しました。 彼らの報酬？ バグごとに12.50ドル。Yahooの会社の店でのみ引き換え可能。 恐らくこの哀れな小さな報酬に向けられた注意に恥をかかされたヤフーは、バグの報奨金を上げました。 報告された問題の重大度に応じて、研究者は報告のために150ドルから15, 000ドルを受け取ります。 はい、それはTシャツではなく現金です。

個人的な感謝

Ramses Martinezによる「Yahoo Paranoidsディレクター」と特定された民俗的なブログ投稿で、バグ報奨金プログラムの歴史とその新しい方向性について説明しました。 「私は個人的な「感謝」としてTシャツを送り始めました」とマルティネスは言いました。 「私も自分のお金でシャツを買いました。」 後に、一部の提出者は既にTシャツを受け取っていたため、「私はギフト券を購入し始め、彼らが自分の選択した別のギフトを手に入れられるようになりました」。

マルチネスは、バグの報告と引き換えに多くの研究者が必要とする主なものは「上司やクライアントに見せることができる手紙」だと指摘しています。 Tシャツとギフト券は、個人的な感謝でした。 実際の証拠については、「これらの手紙を自分で書きます」。

新しい報告ポリシー

Martinezの投稿によると、Yahooはすでにバグバウンティポリシーにアップグレードが必要であることを認識していました。 「セキュリティチームは、改訂されたプログラムの最後の仕上げを行っていました」と彼は言いました。 「もう待つのではなく、新しい脆弱性報告ポリシーを少し早くプレビューすることにしました。」

Martinezの投稿で詳細を読むことができます。 ヤフーは、レポート作成プロセスを合理化し、できるだけ早くレポートを検証し、タイムリーに問題に対処するためにさらに努力します。 検証済みのバグを報告するそれらは、「提出後14日以内に（ただし、通常ははるかに高速に）」連絡され、Yahooから正式に承認されます。 「報告された最高の問題については、「名誉の殿堂」にある個人の貢献をサイトから直接呼びかけます。」

また、報酬としてTシャツや盗品はもう必要ありません。 「ヤフーは、私たちが150ドルから15, 000ドルの間の新しい、ユニークな、および/または高リスクの問題として分類するものを識別する個人および企業に報酬を与えるようになりました。」 報奨金の規模については、「問題の重大度を把握する一連の定義済み要素に基づいた明確なシステムによって決定されます」。 このポリシーは、10月末までに有効になり、2013年7月1日まで遡及されます。「もちろん、これには、私のTシャツが気に入らなかったハイテクブリッジの研究者のチェックも含まれます」 。

明確な改善

「脆弱性を報告する際にYahooに明確に言ったように、私たちはお金のために調査を行っていませんでした」と、ハイテクブリッジCEOのIlia Kolochenko氏は述べています。 「しかし、ヤフーがセキュリティリサーチャーとの関係を促進し、企業のセキュリティの向上を支援する新しいバグバウンティプログラムを導入していることを嬉しく思います。これは間違いなく朗報です。」

ただし、他の主要なプレーヤーがはるかに大きなバグ報奨金を支払うという事実は残っています。 マイクロソフトは長い間待ち構えていましたが、今年の初めには最高10万ドルの賞金が支給されました。 Facebookは100万ドル以上のバグ報奨金を支払い、Googleは200万ドル以上を支払いました。 一方、重大なバグを見つけた人に対するAppleの報酬は名声であり、それ以上のものではありません。 ヤフーの新しい計画は途中のどこかに落ちます。 それらがどのように機能するかを確認します。