Zuhause Sicherheitsuhr Yahoo hat sich geschämt, erbärmlich kleine Käferprämie zu erheben

Yahoo hat sich geschämt, erbärmlich kleine Käferprämie zu erheben

Video: Yahoo Mail Login | Yahoo.com Sign In | Yahoo Account Login 2020 (Desktop Login) (Dezember 2024)

Video: Yahoo Mail Login | Yahoo.com Sign In | Yahoo Account Login 2020 (Desktop Login) (Dezember 2024)
Anonim

Vor ein paar Tagen berichteten Forscher des Schweizer Sicherheitsunternehmens High-Tech Bridge über ein einfaches Experiment. Sie verbrachten einen Tag damit, die Websites von Yahoo auf Bugs zu durchsuchen, fanden drei schwerwiegende und übermittelten sie an Yahoo, um das Bug-Bounty-Programm des Unternehmens zu evaluieren. Ihre Belohnung? 12, 50 USD pro Fehler, einlösbar nur bei Yahoo. Möglicherweise beschämt über die Aufmerksamkeit, die auf diese erbärmlich kleine Belohnung gerichtet ist, hat Yahoo das Bug-Kopfgeld erhöht. Je nach Schwere des gemeldeten Problems erhalten Forscher jetzt 150 bis 15.000 US-Dollar für einen Bericht. Und ja, das ist in bar, nicht in T-Shirts.

Ein persönlicher Dank

In einem volkstümlichen Blog-Beitrag von Ramses Martinez, der als "Director, Yahoo Paranoids" bezeichnet wurde, wurde die Geschichte des Programms zur Bugs-Bounty und seine neue Ausrichtung erläutert. "Als persönliches Dankeschön habe ich angefangen, ein T-Shirt zu verschicken", sagte Martinez. "Ich habe die Shirts sogar mit meinem eigenen Geld gekauft." Später, weil einige Einsender bereits ein T-Shirt erhalten hatten, "begann ich, einen Geschenkgutschein zu kaufen, damit sie ein anderes Geschenk ihrer Wahl bekommen konnten."

Martinez merkt an, dass das Wichtigste, was viele Forscher brauchen, um einen Fehler zu melden, "ein Brief, den sie ihrem Chef oder Kunden zeigen könnten". Die T-Shirts und Geschenkgutscheine waren nur ein persönlicher Dank an der Spitze. Was den eigentlichen Beweis angeht: "Ich schreibe diese Briefe selbst."

Neue Berichtsrichtlinie

Laut Martinez 'Beitrag hatte Yahoo bereits erkannt, dass die Bug Bounty-Richtlinie ein Upgrade erfordert. "Das Sicherheitsteam hat das überarbeitete Programm fertiggestellt", sagte er. "Anstatt länger zu warten, haben wir uns entschlossen, unsere neue Richtlinie zur Meldung von Sicherheitslücken etwas früher in der Vorschau anzuzeigen."

Sie können alle Details in Martinez 'Post lesen. Yahoo wird den Berichtsprozess rationalisieren, daran arbeiten, Berichte so schnell wie möglich zu validieren und noch härter daran arbeiten, Probleme rechtzeitig zu beheben. Diejenigen, die bestätigte Fehler melden, werden "in nicht mehr als vierzehn Tagen nach der Einreichung (aber in der Regel viel schneller) kontaktiert" und von Yahoo offiziell anerkannt. "Für die am besten gemeldeten Probleme werden wir den Beitrag eines Einzelnen in einer 'Hall of Fame' direkt von unserer Website aus aufrufen."

Auch keine T-Shirts oder Beute mehr als Belohnung. "Yahoo wird jetzt Einzelpersonen und Firmen belohnen, die feststellen, was wir als neue, einzigartige und / oder risikoreiche Probleme zwischen 150 und 15.000 US-Dollar einstufen." Was die Größe des Kopfgeldes betrifft, so wird dies "durch ein klares System bestimmt, das auf einer Reihe definierter Elemente basiert, die den Schweregrad des Problems erfassen." Diese Richtlinie tritt Ende Oktober in Kraft und gilt rückwirkend bis zum 1. Juli 2013. "Dazu gehört natürlich ein Scheck für die Forscher von High-Tech Bridge, die mein T-Shirt nicht mochten", witzelte Martinez.

Eine deutliche Verbesserung

"Wir haben nicht für Geld recherchiert, wie wir Yahoo klar gesagt haben, als wir die Sicherheitslücken gemeldet haben", bemerkte Ilia Kolochenko, CEO von High-Tech Bridge. "Wir sind jedoch froh, dass Yahoo jetzt ein neues Bug Bounty-Programm einführt, das die Beziehungen zu Sicherheitsforschern erleichtert und ihnen hilft, die Unternehmenssicherheit zu verbessern. Das sind auf jeden Fall gute Nachrichten."

Die Tatsache bleibt jedoch, dass andere Hauptakteure viel größere Bugs ausbezahlen. Microsoft hat sich lange Zeit gehalten, Anfang des Jahres jedoch ein Kopfgeld von bis zu 100.000 US-Dollar verhängt. Facebook hat über eine Million Dollar an Bug Bounties gezahlt, und Google hat Berichten zufolge über zwei Millionen gezahlt. Auf der anderen Seite ist Apples Belohnung für diejenigen, die signifikante Fehler finden, Ruhm, nichts weiter. Der neue Plan von Yahoo liegt irgendwo in der Mitte. Wir werden sehen, wie es für sie funktioniert.

Yahoo hat sich geschämt, erbärmlich kleine Käferprämie zu erheben