Video: Suspense: The Dead Sleep Lightly / Fire Burn and Cauldron Bubble / Fear Paints a Picture (Oktober 2024)
For et par dage siden rapporterede forskere fra det schweiziske sikkerhedsfirma High-Tech Bridge om et simpelt eksperiment. De tilbragte en dag på at kombinere Yahoos websteder for fejl, fandt tre alvorlige og sendte dem til Yahoo med det formål at evaluere selskabets bug-bounty-program. Deres belønning? $ 12, 50 pr. Bug, der kun kan indløses i Yahoos firmabutik. Yahoo har muligvis skabt af den opmærksomhed, der er rettet mod denne ynkelig lille belønning, og har hævet fejlen. Afhængig af sværhedsgraden af det rapporterede problem, vil forskere nu modtage fra $ 150 til $ 15.000 for en rapport. Og ja, det er kontant, ikke t-shirts.
En personlig tak
I et folksy blog-indlæg af Ramses Martinez, identificeret som "Director, Yahoo Paranoids, " forklarede historien om bug-bounty-programmet og dets nye retning. "Jeg begyndte at sende en t-shirt som en personlig tak, " sagde Martinez. "Jeg købte endda skjorterne med mine egne penge." Senere, fordi nogle indsendere allerede havde modtaget en t-shirt, "begyndte jeg at købe et gavekort, så de kunne få en anden gave efter eget valg."
Martinez bemærker, at det vigtigste, som mange forskere har brug for til gengæld for at rapportere en fejl, er "et brev, de kunne vise deres chef eller klient." T-shirts og gavekort var bare personlig tak på toppen. Hvad angår det faktiske bevis, "jeg skriver disse breve selv."
Ny rapporteringspolitik
Per Martinez 'indlæg, Yahoo havde allerede indset, at bug-bounty-politik havde brug for en opgradering. ”Sikkerhedsteamet fik afsluttet det reviderede program, ” sagde han. "I stedet for at vente længere, har vi besluttet at forhåndsvise vores nye politik om sårbarhedsrapportering lidt tidligt."
Du kan læse alle detaljer i Martinez 'indlæg. Yahoo strømline rapporteringsprocessen, arbejder med at validere rapporter så hurtigt som muligt og arbejder endnu hårdere for at løse problemer rettidigt. De, der rapporterer bekræftede fejl, bliver kontaktet "ikke mere end fjorten dage efter indsendelse (men typisk meget hurtigere)" og vil modtage formel anerkendelse fra Yahoo. "For de bedst rapporterede problemer, vil vi direkte kalde fra vores side et individs bidrag i en 'hall of fame.'"
Ikke flere t-shirts eller swag som belønninger. "Yahoo vil nu belønne enkeltpersoner og virksomheder, der identificerer, hvad vi klassificerer som nye, unikke og / eller høje risikoproblemer mellem $ 150 - $ 15.000." Hvad angår størrelsen på skuddet, vil dette "blive bestemt af et klart system baseret på et sæt af definerede elementer, der fanger alvorligheden af problemet." Denne politik træder i kraft ved udgangen af oktober og vil være tilbagevirkende kraft til 1. juli 2013. "Dette inkluderer naturligvis en check til forskerne ved High-Tech Bridge, der ikke kunne lide min t-shirt, " spurgte Martinez.
En bestemt forbedring
"Vi gjorde ikke vores research for penge, som vi tydeligt sagde til Yahoo, mens vi rapporterede om sårbarhederne, " bemærkede High-Tech Bridge CEO Ilia Kolochenko. "Vi er dog glade for, at Yahoo nu introducerer et nyt Bug Bounty-program, der vil lette deres forhold til sikkerhedsforskere og hjælpe dem med at forbedre deres virksomheds sikkerhed. Det er bestemt gode nyheder."
Faktum er dog, at andre større spillere betaler meget større bug-beløb. Microsoft holdt ud i lang tid, men indførte tidligere i år en dusør på op til $ 100.000. Facebook har betalt over en million dollars i bug-beløb, og Google har angiveligt betalt over to millioner. På den anden side er Apples belønning til dem, der finder betydelige fejl berømmelse, intet mere. Yahoos nye plan falder et sted i midten; vi får se, hvordan det fungerer for dem.
