Casa Securitywatch Yahoo offre una generosa ricompensa di bug: $ 12,50 in malloppo aziendale

Yahoo offre una generosa ricompensa di bug: $ 12,50 in malloppo aziendale

Video: NON CI CREDO! CLASH OF CLANS MI HA MANDATO...📦 (Novembre 2024)

Video: NON CI CREDO! CLASH OF CLANS MI HA MANDATO...📦 (Novembre 2024)
Anonim

I ricercatori di sicurezza specializzati in test di penetrazione trascorrono i loro giorni (e notti) cercando di rompere i sistemi di sicurezza. Se trovano un buco nella sicurezza di un prodotto prima che lo facciano i cattivi, questo dà al creatore del prodotto il tempo di eliminare una patch. Cosa c'è dentro per il ricercatore? Forse una ricompensa di bug di $ 100.000, se il problema era in un prodotto Microsoft. I ricercatori di High-Tech Bridge, una società di servizi di sicurezza e test di penetrazione, riferiscono che anche Yahoo offre una ricompensa di bug. Il primo reporter di un bug di sicurezza verificabile ottiene… $ 12, 50, riscattabili solo nel negozio aziendale di Yahoo per "magliette, tazze, penne e altri accessori aziendali". Davvero, Yahoo?

Cracking rapido

La pagina Web Sicurezza di Yahoo riporta le misure di sicurezza già adottate dalla società, insieme a una raccolta di suggerimenti. Le persone che ritengono che i loro account siano stati violati o compromessi possono contattare Yahoo da questa pagina per assistenza. Inoltre, "Se sei un membro della comunità della sicurezza e devi segnalare una vulnerabilità tecnica, contatta: [email protected]."

Per valutare il sistema Bug Bounty, i ricercatori di High-Tech Bridge si sono seduti e hanno iniziato a cercare falle di sicurezza nei siti Web di Yahoo. Ne trovarono subito uno, ma era già stato segnalato. Nel corso di altri due giorni hanno scoperto altre tre vulnerabilità di scripting cross-site, tutte nuove. (Non è un po 'allarmante in sé?) Secondo il rapporto, "Ciascuna delle vulnerabilità scoperte ha consentito a qualsiasi account di posta elettronica @ yahoo.com di essere compromesso semplicemente inviando un collegamento appositamente predisposto a un utente Yahoo collegato." Una volta che l'utente fa clic su quel collegamento, il gioco finisce.

I ricercatori di Yahoo hanno verificato l'esistenza di queste vulnerabilità (da allora sono state risolte). Hanno offerto al team di ricerca un cordiale ringraziamento e un premio di $ 12, 50 per bug, riscattabile presso il negozio dell'azienda. I ricercatori non erano impressionati; il rapporto afferma: "A questo punto abbiamo deciso di trattenere ulteriori ricerche".

Taglie più grandi

Microsoft pagherà una taglia di $ 100.000 per alcuni rapporti. Facebook ha pagato oltre un milione di dollari. Apple non paga ricompense di bug, ma premia la "divulgazione responsabile" con fama. Per me, la politica di just-fame di Apple senza soldi sembra meglio che concedere il cambio chump.

"Yahoo dovrebbe probabilmente rivedere le proprie relazioni con i ricercatori della sicurezza", ha commentato Ilia Kolochenko, CEO di High-Tech Bridge. "Il pagamento di diversi dollari per vulnerabilità è un brutto scherzo e non motiverà le persone a segnalare loro vulnerabilità di sicurezza, soprattutto quando tali vulnerabilità possono essere facilmente vendute sul mercato nero a un prezzo molto più elevato." Conclude che se Yahoo non spende di più per la sicurezza aziendale, "nessuno dei clienti di Yahoo potrà mai sentirsi al sicuro".

Altre aziende hanno richiesto il pungolo per rendersi conto che i doni di bug ripagano alla grande. Alcuni anni fa Facebook offriva solo $ 500. Più recentemente un ricercatore, a cui è stata negata una generosità da Facebook, ha dimostrato la sua scoperta pubblicando sulla bacheca di Mark Zuckerberg. Brian Martin, presidente di Open Security Foundation, ha osservato che "Persino Microsoft, che è stata la più nota partecipazione ai programmi di ricompensa dei bug, ha compreso il valore e ha superato gli altri, offrendo fino a $ 100.000". Ha continuato dicendo: "Alcune di queste aziende pagano ai loro bidelli più soldi per pulire i loro uffici, rispetto ai ricercatori di sicurezza che trovano vulnerabilità che possono mettere a rischio migliaia di loro clienti".

Devo essere d'accordo Se i venditori non pagheranno le scoperte dei ricercatori sulla sicurezza, ce ne saranno sicuramente altri che lo faranno. Non vogliamo che quei ricercatori intelligenti si rivolgano al lato oscuro per nutrire i loro bambini.

Yahoo offre una generosa ricompensa di bug: $ 12,50 in malloppo aziendale