Yahoo przemyślało swoją politykę bug bounty!

03 października 2013, 20:30 | Aktualności | komentarzy 5
Tagi: ,
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Po fali krytyki, jaka przelała się przez Internet w związku z mizerną nagrodą przyznaną za błędy znalezione w systemach Yahoo, nie trzeba było długo czekać na reakcję amerykańskiej korporacji.

Przypomnijmy, że podatności typu XSS zostały odkryte przez pracowników High-Tech Bridge w systemach firmy Yahoo, a potencjalne ataki mogłyby dotknąć wszystkich zalogowanych użytkowników poczty Yahoo.

Za takowe zgłoszenie zespół bezpieczeństwa Yahoo przekazał nagrody w postaci… 12,5 USD do wykorzystania w sklepiku z korporacyjnymi Gadżetami!

Przypadek ten wywołał na całym świecie dość zdecydowane negatywne reakcje ze strony specjalistów oraz serwisów zajmujących się bezpieczeństwem informatycznym i jak widać już przyniosło to namacalne efekty.

Yahoo postanowiło zrezygnować z koszulek fundowanych przez CSO

Yahoo postanowiło zrezygnować z koszulek fundowanych przez CSO

Ramses Martinez, szef zespołu bezpieczeństwa Yahoo, ogłosił właśnie, że jego firma postanowiła rozpocząć program typu bug bounty z prawdziwego zdarzenia. Obecnie nagrody pieniężne będą wynosić od 150 do 15 tys. USD w zależności od typu znalezionej podatności.

Tym samym Yahoo dołączyło do grona firm takich jak Google, Microsoft, czy Facebook, które za informacje o nowych lukach wypłacają znaczące nagrody pieniężne.

Co bardzo ciekawe, nowy program Yahoo zadziała wstecz (od 1. lipca 2013 roku). Oznacza to, że badacze z High-Tech Bridge również otrzymają nagrody z prawdziwego zdarzenia.

Warto jeszcze podkreślić, że z oświadczenia Martineza wynika również, że dotychczasowe symboliczne upominki były fundowane z jego prywatnych funduszy.

– Wojciech Smol, (wojciech.smol<at>sekurak.pl)

PS

Bardzo obszerną i na bieżąco aktualizowaną listę rozmaitych programów bug bounty możecie znaleźć tutaj.

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. MateuszM

    Rachunek ekonomiczny jest dosyć prosty – koszulka od firmy lub kilka tysięcy bugsów (LOL) od przestępców. Obawiam się, że idealistów jest niewielu a Ci też muszą coś jeść.

    Niektóre firmy nie przyswajają odpowiednio szybko, że opłaca im się hojnie wynagradzać speców od bezpieczeństwa. Ci co tego nie robią albo są przekonani, że ich usługi/aplikacje są bezbłędne albo jeszcze nie zaliczyli poważnej wpadki, którą prędzej czy później zaliczą. No i nie mają dobrych specjalistów od zarządzania ryzykiem.

    Odpowiedz
  2. są przekonani, że ich usługi/aplikacje są bezbłędne

    Jakby byli przekonani, że ich usługi są bezbłędne, to nic by im nie szkodziło zaoferowanie i $100000000 nagrody. ;)

    Odpowiedz
  3. pant3k

    Bug bounty to absurd ekonomiczny – kilka tysięcy osób pracuję, jedna otrzymuję wypłatę.

    Odpowiedz
  4. MateuszM

    @pant3k, wypłatę otrzymuje zwycięzca, tak jak na zawodach sportowych, nie dostrzegam tu absurdu ale może mam spaczone myślenie.

    Jeżeli jesteś członkiem zespołu albo czujesz, że będzie sprawiedliwie się podzielić nagrodą w ramach uznania za wsparcie – nikt Ci tego nie broni. Możesz nawet dokarmiać dzieci w Afryce za pieniądze otrzymane w ramach bug bounty.

    Inni uczeni zbadali, że lepsze efekty przynosi „pozytywne” motywowanie, niż „negatywne” (marchewka lepsza od kija). Bug bounty są jak dotychczas najlepszym rozwiązaniem a straszenie więzieniem i prawnikami to jest dopiero absurd.

    Odpowiedz

Odpowiedz