Video: YAHOO ANSWERS MY GHOST PROBLEM - I'm Still Here (Novembre 2024)
Un paio di giorni fa, i ricercatori della società di sicurezza svizzera High-Tech Bridge hanno riferito di un semplice esperimento. Hanno trascorso una giornata a cercare i siti Web di Yahoo per i bug, ne hanno trovati tre seri e li hanno inviati a Yahoo, allo scopo di valutare il programma di ricompensa dei bug dell'azienda. La loro ricompensa? $ 12, 50 per bug, riscattabili solo presso il negozio aziendale di Yahoo. Probabilmente svergognato dall'attenzione rivolta a questa ricompensa pietosamente piccola, Yahoo ha aumentato la generosità dei bug. A seconda della gravità del problema segnalato, i ricercatori riceveranno da $ 150 a $ 15.000 per un rapporto. E sì, è in contanti, non magliette.
Un ringraziamento personale
In un post sul blog folksy di Ramses Martinez, identificato come "Director, Yahoo Paranoids", ha spiegato la storia del programma di ricompensa dei bug e la sua nuova direzione. "Ho iniziato a inviare una maglietta come un ringraziamento personale", ha detto Martinez. "Ho persino comprato le magliette con i miei soldi". Più tardi, poiché alcuni presentatori avevano già ricevuto una maglietta, "Ho iniziato ad acquistare un buono regalo in modo che potessero ottenere un altro regalo a loro scelta".
Martinez osserva che la cosa principale di cui molti ricercatori hanno bisogno in cambio della segnalazione di un bug è "una lettera che potrebbero mostrare al loro capo o cliente". Le magliette e i buoni regalo erano solo grazie personali in cima. Per quanto riguarda la prova effettiva, "scrivo queste lettere da solo".
Nuova politica di segnalazione
Secondo il post di Martinez, Yahoo aveva già capito che la politica di ricompensa dei bug aveva bisogno di un aggiornamento. "Il team di sicurezza stava dando gli ultimi ritocchi al programma rivisto", ha detto. "Invece di aspettare ancora, abbiamo deciso di visualizzare in anteprima la nostra nuova politica di segnalazione delle vulnerabilità un po 'in anticipo."
Puoi leggere tutti i dettagli nel post di Martinez. Yahoo semplificherà il processo di segnalazione, lavorerà per convalidare i rapporti il più presto possibile e lavorerà ancora di più per affrontare i problemi in modo tempestivo. Quelli che segnalano bug verificati verranno contattati "non oltre quattordici giorni dopo l'invio (ma in genere molto più rapidamente)" e riceveranno un riconoscimento formale da Yahoo. "Per i migliori problemi segnalati, chiameremo direttamente dal nostro sito il contributo di un individuo in una" hall of fame "."
Inoltre, non più magliette o maglie come ricompense. "Yahoo ricompenserà ora gli individui e le aziende che identificano ciò che classifichiamo come nuovo, unico e / o ad alto rischio tra $ 150 - $ 15.000". Per quanto riguarda le dimensioni della taglia, ciò "sarà determinato da un sistema chiaro basato su una serie di elementi definiti che catturano la gravità del problema". Questa politica entrerà in vigore entro la fine di ottobre e sarà retroattiva fino al 1 ° luglio 2013. "Ciò include, ovviamente, un controllo per i ricercatori dell'High-Tech Bridge a cui non piaceva la mia maglietta", ha scherzato Martinez.
Un netto miglioramento
"Non stavamo facendo le nostre ricerche per soldi, come abbiamo chiaramente detto a Yahoo mentre segnalavamo le vulnerabilità", ha osservato Ilia Kolochenko, CEO di High-Tech Bridge. "Tuttavia, siamo lieti che Yahoo stia ora introducendo un nuovo programma Bug Bounty che faciliterà le sue relazioni con i ricercatori di sicurezza e li aiuterà a migliorare la loro sicurezza aziendale. Questa è sicuramente una buona notizia."
Resta il fatto, tuttavia, che altri importanti giocatori pagano ricompense di insetti molto più grandi. Microsoft ha resistito a lungo, ma all'inizio di quest'anno ha istituito una taglia fino a $ 100.000. Facebook ha pagato oltre un milione di dollari in ricompense di bug e, secondo quanto riferito, Google ha pagato oltre due milioni. D'altro canto, la ricompensa di Apple per coloro che trovano bug significativi è la fama, niente di più. Il nuovo piano di Yahoo cade da qualche parte nel mezzo; vedremo come funziona per loro.