Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Yahoo przemyślało swoją politykę bug bounty!
Po fali krytyki, jaka przelała się przez Internet w związku z mizerną nagrodą przyznaną za błędy znalezione w systemach Yahoo, nie trzeba było długo czekać na reakcję amerykańskiej korporacji.
Przypomnijmy, że podatności typu XSS zostały odkryte przez pracowników High-Tech Bridge w systemach firmy Yahoo, a potencjalne ataki mogłyby dotknąć wszystkich zalogowanych użytkowników poczty Yahoo.
Za takowe zgłoszenie zespół bezpieczeństwa Yahoo przekazał nagrody w postaci… 12,5 USD do wykorzystania w sklepiku z korporacyjnymi Gadżetami!
Przypadek ten wywołał na całym świecie dość zdecydowane negatywne reakcje ze strony specjalistów oraz serwisów zajmujących się bezpieczeństwem informatycznym i jak widać już przyniosło to namacalne efekty.
Yahoo postanowiło zrezygnować z koszulek fundowanych przez CSO
Ramses Martinez, szef zespołu bezpieczeństwa Yahoo, ogłosił właśnie, że jego firma postanowiła rozpocząć program typu bug bounty z prawdziwego zdarzenia. Obecnie nagrody pieniężne będą wynosić od 150 do 15 tys. USD w zależności od typu znalezionej podatności.
Tym samym Yahoo dołączyło do grona firm takich jak Google, Microsoft, czy Facebook, które za informacje o nowych lukach wypłacają znaczące nagrody pieniężne.
Co bardzo ciekawe, nowy program Yahoo zadziała wstecz (od 1. lipca 2013 roku). Oznacza to, że badacze z High-Tech Bridge również otrzymają nagrody z prawdziwego zdarzenia.
Warto jeszcze podkreślić, że z oświadczenia Martineza wynika również, że dotychczasowe symboliczne upominki były fundowane z jego prywatnych funduszy.
– Wojciech Smol, (wojciech.smol<at>sekurak.pl)
PS
Bardzo obszerną i na bieżąco aktualizowaną listę rozmaitych programów bug bounty możecie znaleźć tutaj.
Rachunek ekonomiczny jest dosyć prosty – koszulka od firmy lub kilka tysięcy bugsów (LOL) od przestępców. Obawiam się, że idealistów jest niewielu a Ci też muszą coś jeść.
Niektóre firmy nie przyswajają odpowiednio szybko, że opłaca im się hojnie wynagradzać speców od bezpieczeństwa. Ci co tego nie robią albo są przekonani, że ich usługi/aplikacje są bezbłędne albo jeszcze nie zaliczyli poważnej wpadki, którą prędzej czy później zaliczą. No i nie mają dobrych specjalistów od zarządzania ryzykiem.
MateuszM,
Zgadza się, to wszystko już nawet potwierdzone przez przysłowiowych „amerykańskich naukowców” ;) http://sekurak.pl/naukowcy-zachecaja-do-placenia-za-luki-0-day/
Jakby byli przekonani, że ich usługi są bezbłędne, to nic by im nie szkodziło zaoferowanie i $100000000 nagrody. ;)
Bug bounty to absurd ekonomiczny – kilka tysięcy osób pracuję, jedna otrzymuję wypłatę.
@pant3k, wypłatę otrzymuje zwycięzca, tak jak na zawodach sportowych, nie dostrzegam tu absurdu ale może mam spaczone myślenie.
Jeżeli jesteś członkiem zespołu albo czujesz, że będzie sprawiedliwie się podzielić nagrodą w ramach uznania za wsparcie – nikt Ci tego nie broni. Możesz nawet dokarmiać dzieci w Afryce za pieniądze otrzymane w ramach bug bounty.
Inni uczeni zbadali, że lepsze efekty przynosi „pozytywne” motywowanie, niż „negatywne” (marchewka lepsza od kija). Bug bounty są jak dotychczas najlepszym rozwiązaniem a straszenie więzieniem i prawnikami to jest dopiero absurd.