Video: Path of Exile 3.12: HEIST DAY #65-68 Highlights GAUNTLET 7-END FINAL STANDING "A SINGLE WHITE MOB!?" (Oktober 2024)
Sikkerhedsforskere, der er specialiserede i penetrationstest, bruger deres dage (og nætter) på at bryde sikkerhedssystemer. Hvis de finder et sikkerhedshul i et produkt, før de onde gør det, giver det producenten tid til at skubbe en patch ud. Hvad har forskeren? Måske en fejl på 100.000 $, hvis problemet var i et Microsoft-produkt. Forskere ved High-Tech Bridge, et firma for sikkerhedstjenester og penetrationstest, rapporterer, at Yahoo også tilbyder en bug-bounty. Den første reporter af en verificerbar sikkerhedsfejl bliver… $ 12, 50, der kun kan indløses i Yahoos firmabutik til "firmat-shirts, kopper, penne og andet tilbehør." Virkelig, Yahoo?
Hurtigt krakket
Websiden Sikkerhed på Yahoo rapporterer om sikkerhedstrin, som virksomheden allerede har truffet, sammen med en samling tip. Personer, der mener, at deres konti er blevet hacket eller kompromitteret, kan kontakte Yahoo fra denne side for hjælp. Den siger også, "Hvis du er medlem af sikkerhedsfællesskabet og har brug for at rapportere en teknisk sårbarhed, skal du kontakte: [email protected]."
For at evaluere Bug Bounty-systemet satte High-Tech Bridge forskere sig ned og begyndte at lede efter sikkerhedshuller på Yahoos websteder. De fandt en med det samme, men det var allerede blevet rapporteret. I løbet af endnu et par dage fandt de tre yderligere script-sårbarheder på tværs af websteder, alle nye. (Er det ikke en smule alarmerende i sig selv?) Ifølge rapporten, "Hver af de opdagede sårbarheder gjorde det muligt at kompromittere nogen @ yahoo.com e-mail-konto ved blot at sende et specielt udformet link til en logget ind Yahoo-bruger." Når brugeren klikker på det link, er det spillet over.
Yahoos egne forskere bekræftede, at disse sårbarheder virkelig eksisterede (de er siden blevet rettet). De tilbød forskerteamet en stor tak og en pris på $ 12, 50 pr. Bug, der kan indløses i firmabutikken. Forskerne var ikke imponeret; rapporten siger, "På dette tidspunkt besluttede vi at fortsætte med yderligere forskning."
Større skatter
Microsoft betaler et beløb på $ 100.000 for nogle rapporter. Facebook har udbetalt over en million dollars. Apple betaler ikke bug-beløb, men belønner "ansvarlig afsløring" med berømmelse. For mig virker Apples ikke-kontante just-fame-politik bedre end at tildele chump-ændring.
"Yahoo burde sandsynligvis revidere deres forhold til sikkerhedsforskere, " kommenterede Ilia Kolochenko, administrerende direktør for High-Tech Bridge. "Betaling af flere dollars pr. Sårbarhed er en dårlig vittighed og vil ikke motivere folk til at rapportere sikkerhedssårbarheder til dem, især når sådanne sårbarheder let kan sælges på det sorte marked til en meget højere pris." Han konkluderer, at hvis Yahoo ikke bruger mere på virksomhedssikkerhed, "kan ingen af Yahoos kunder nogensinde føle sig trygge."
Andre firmaer har krævet forarbejdning for at indse, at fejlbeløb betaler sig i stor tid. For et par år siden tilbød Facebook kun $ 500. For nylig demonstrerede en forsker, der blev nægtet en gave fra Facebook, hans opdagelse ved at placere på Mark Zuckerbergs væg. Brian Martin, præsident for Open Security Foundation, bemærkede, at "Selv Microsoft, der var den mest berygtede hold-out på bug-bounty-programmer, indså værdien og sprang foran resten og tilbyder op til $ 100.000." Han fortsatte med at sige, "Nogle af disse virksomheder betaler deres vagter flere penge for at rengøre deres kontorer, end de gør sikkerhedsforskere, der finder sårbarheder, der kan bringe tusinder af deres kunder i fare."
Jeg er enig. Hvis leverandører ikke betaler for opdagelser fra sikkerhedsforskere, er der bestemt andre, der vil. Vi vil ikke have, at de kloge forskere vender sig mod den mørke side for at fodre deres børn.
