Před několika dny vědci ze švýcarské bezpečnostní firmy High-Tech Bridge informovali o jednoduchém experimentu. Strávili den bojováním o webové stránky společnosti Yahoo za chyby, našli tři závažné a odeslali je společnosti Yahoo za účelem vyhodnocení programu odměny za chyby společnosti. Jejich odměna? 12, 50 $ za chybu, lze ji uplatnit pouze v obchodním domě společnosti Yahoo. Pravděpodobně zahanbený pozorností zaměřenou na tuto žalostně malou odměnu, Yahoo zvýšil chybu odměny za chyby. V závislosti na závažnosti nahlášeného problému budou nyní vědci za zprávu od 150 do 15 000 $. A ano, to je v hotovosti, ne trička.
Osobní poděkování
V příspěvku lidového blogu Ramsse Martineze, označeného jako „Režisér, Yahoo Paranoids“, vysvětlil historii programu odměny za chyby a jeho nový směr. „Začal jsem posílat tričko jako osobní 'díky, ' 'řekla Martinez. "Dokonce jsem si koupil košile s vlastními penězi." Později, protože někteří zadavatelé již dostali tričko, „Začal jsem kupovat dárkový certifikát, aby mohli získat další dárek podle svého výběru.“
Martinez poznamenává, že hlavní věcí, kterou mnozí vědci potřebují výměnou za nahlášení chyby, je „dopis, který by mohli ukázat svému šéfovi nebo klientovi“. Trička a dárkové certifikáty byly nahoře jen osobním poděkováním. Pokud jde o skutečný důkaz: „Píšu tyto dopisy sám.“
Nové zásady podávání zpráv
Podle příspěvku Martineze si Yahoo již uvědomil, že politika odměny za chyby vyžaduje upgrade. "Bezpečnostní tým prováděl finální úpravy revidovaného programu, " řekl. "Spíše než čekat déle, rozhodli jsme se prohlédnout si brzy naše nové zásady hlášení chyb zabezpečení."
Všechny podrobnosti si můžete přečíst v Martinezově příspěvku. Yahoo zefektivní proces podávání zpráv, bude usilovat o ověření hlášení co nejdříve, a ještě těžší bude řešit problémy včas. Ti, kteří hlásí ověřené chyby, budou kontaktováni „nejpozději do čtrnácti dnů po odeslání (ale obvykle mnohem rychleji)“ a dostanou formální uznání od Yahoo. "Pokud jde o nejlepší nahlášené problémy, z našeho webu přímo zavoláme individuální příspěvek do„ síně slávy “.“ “
Také žádná další trička nebo lup jako odměna. „Yahoo nyní odmění jednotlivce a firmy, které identifikují to, co klasifikujeme jako nové, jedinečné a / nebo vysoce rizikové problémy mezi 150 až 15 000 USD.“ Pokud jde o velikost odměny, „to bude určeno jasným systémem založeným na sadě definovaných prvků, které zachycují závažnost problému.“ Tato politika vstoupí v platnost do konce října a bude platit zpětně do 1. července 2013. „Patří sem samozřejmě kontrola pro výzkumné pracovníky na High-Tech Bridge, kterým se moje tričko nelíbilo, “ odpověděl Martinez..
Jednoznačné zlepšení
"Nedělali jsme náš výzkum za peníze, jak jsme jasně řekli Yahoo při hlášení zranitelností, " uvedla generální ředitelka High-Tech Bridge Ilia Kolochenko. "Jsme však rádi, že Yahoo nyní zavádí nový program Bug Bounty, který usnadní jejich vztahy s výzkumnými pracovníky v oblasti bezpečnosti a pomůže jim zlepšit firemní bezpečnost. To je určitě dobrá zpráva."
Faktem však zůstává, že ostatní hlavní hráči vyplácejí mnohem větší odměny za chyby. Microsoft vydržel po dlouhou dobu, ale začátkem tohoto roku zavedl odměnu až 100 000 dolarů. Facebook zaplatil přes milion dolarů v bugových odměnách a Google údajně zaplatil přes dva miliony. Na druhé straně je odměnou Apple těm, kteří najdou významné chyby, sláva, nic víc. Nový plán Yahoo spadá někde uprostřed; uvidíme, jak to pro ně vyjde.
