Yahoo abbandona i premi sulle magliette per informazioni sulla vulnerabilità

Yahoo smetterà di regalare le magliette come ricompensa per aver trovato vulnerabilità della sicurezza dopo che un pubblico che si vergogna chiamasse "t-shirt gate". La società ha ricevuto una rapina dalla società di sicurezza svizzera High-Tech Bridge dopo aver trovato quattro gravi vulnerabilità nella rete di Yahoo , che sono stati tutti corretti. Tre di questi problemi - difetti di scripting tra siti - avrebbero potuto consentire a un utente malintenzionato di dirottare l'account e-mail Yahoo di una persona.

A partire dal 31 ottobre, Yahoo pagherà premi che vanno da $ 150 a $ 15.000 per le vulnerabilità, a condizione che tali difetti siano nuovi, unici o ad alto rischio. Ha in programma di premiare retroattivamente i ricercatori che hanno notificato alla compagnia problemi risalenti al 1 ° luglio, ha scritto Ramses Martinez, direttore del team di sicurezza di Yahoo, in un post sul blog mercoledì.

"Questo include, ovviamente, un controllo per i ricercatori dell'High-Tech Bridge a cui non piaceva la mia maglietta", ha scritto Martinez.

L'High-Tech Bridge ha rilasciato un comunicato stampa lunedì affermando che Yahoo ha offerto $ 12,50 in crediti per vulnerabilità, che potrebbero essere utilizzati per articoli a marchio Yahoo come magliette, tazze e penne dal suo negozio.

Di conseguenza, High-Tech Bridge ha dichiarato che avrebbe resistito facendo ulteriori ricerche sulla rete di Yahoo. La società ha scritto che la ricompensa di Yahoo è stata "una brutta battuta".

Il CEO di High-Tech Bridge Ilia Kolochenko ha dichiarato via e-mail che non stava cercando un premio finanziario per le scoperte della sua azienda, ma è contento che Yahoo stia migliorando la comunicazione con i ricercatori della sicurezza.

"È un buon segno", ha scritto

Molte grandi aziende come Google e Facebook offrono taglie redditizie per le informazioni sulla vulnerabilità. Google pagherà fino a $ 20.000 per una vulnerabilità qualificata e Facebook paga un minimo di $ 500.

È più economico per le aziende pagare per le informazioni sulla vulnerabilità piuttosto che assumere ricercatori a tempo pieno. Aiuta anche a dissuadere i ricercatori dal rivolgersi a forum di pirateria informatica per monetizzare le loro informazioni, dove potrebbero essere utilizzate per nuocere.

Yahoo non ha mai avuto un processo formale per riconoscere i ricercatori della sicurezza. Martinez ha scritto che ha iniziato a inviare magliette ai ricercatori per ringraziare.

"Ho persino comprato le magliette con i miei soldi", ha scritto.

Ma Yahoo ha recentemente deciso di migliorare il suo programma di segnalazione delle vulnerabilità. Mentre Yahoo ha agito rapidamente sulle informazioni sulla vulnerabilità ricevute, "la mia idea di" inviare una maglietta "aveva bisogno di un aggiornamento", ha scritto Martinez.

"Questo mese il team di sicurezza ha dato gli ultimi ritocchi al programma rivisto", ha scritto. "E poi ieri mattina" hit t-shirt-gate ". La mia casella di posta era piena di e-mail arrabbiate da persone dentro e fuori Yahoo. Come oso inviare una maglietta alle persone come ringraziamento?"

Yahoo prevede inoltre di migliorare la sua pagina Web in cui i ricercatori possono inviare problemi di sicurezza. I ricercatori saranno contattati entro due settimane, ha scritto Martinez. Coloro che inviano correttamente difetti validi possono anche ricevere un'e-mail o una lettera scritta che possono essere utilizzate come riferimento per il loro lavoro.

"Per i migliori problemi segnalati, chiameremo direttamente dal nostro sito il contributo di un individuo in una" hall of fame "", ha scritto.

Invia suggerimenti e commenti su [email protected] Seguimi su Twitter: @jeremy_kirk

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.