» »

Yahoo bo začel nagrajevati ranljivosti z več kot le majicami

Yahoo bo začel nagrajevati ranljivosti z več kot le majicami

Yahoo News - Najdražji in najbolj nehvaležen del pisanja programske opreme je testiranje in iskanje ranljivosti. Neposredne dodane vrednosti to ne prinaša, zgolj stroške, a lahko prihrani velike stroške v prihodnosti. Podjetja poizkušajo to delo naprtiti zunanjim izvajalcem na različne načine, pri čemer je eden izmed najučinkovitejših načinov nagrajevanje ranljivosti. Nekaj stotakov ali tisočakov za odkrito ranljivost je malenkost v primerjavi s ceno, ki bo jo imel redno zaposleni strokovnjak ali bolje cela armada takih ljudi v podjetju. Zato ni presenetljivo, da imajo Facebook, Google, Mozilla, Microsoft in številna druga podjetja posebne programe (bug bounty), kako finančno nagradijo prijavljene ranljivosti.

Yahoo pa tega doslej ni imel. Kdor je Yahooju poslal podatke o ranljivosti, je od podjetja dobil kratek hvala, to pa je bilo tudi vse. Ramses Martinez, vodja Yahoojeve varnostne skupine, je na lastno pest začel ljudem, ki so odkrili kakšno ranljivost, pošiljati Yahoojeve majice in bone za 12,5 dolarja za nakup Yahoojevega materiala. Vse to je skupina sfinancirala sama in na lastno pest. Kot je dejal Martinez, niso imeli nobenega formalnega programa za nagrajevanje odkritih ranljivosti, le sam je želel storiti lepo gesto.

Pot v pekel je tlakovana z dobrimi nameni. Ko je švicarsko podjetje High-Tech Bridge za odkrito ranljivost v XSS (cross-site scripting) prejelo le bon v višini 12,5 dolarja, se je nad Yahoo zgrnilo ogorčenje spletne javnosti, da gre za norčevanje. Zato je Martinez že vnaprej obelodanil spremenjeno politiko, ki bo začela veljati novembra, in pojasnil, od kod so se vzele majice. Yahoo bo vzpostavil formalno nagrajevanje ranljivosti v višini 150-15.000 dolarjev, odvisno od resnosti in zapletenosti. Še več, veljala bo retroaktivno, tako da bodo nagrade prejeli tudi vsi tisti, ki so napake javili po 1. juliju, pa jim je Yahoo poslal le majico.

2 komentarja

filip007 ::

Odličen način, najbolje, da se sama med sabo napadajo in draga drugemu plačuje pa je, najmanj dela.
Plejstejšon.

Pithlit ::

filip007 je izjavil:

Odličen način, najbolje, da se sama med sabo napadajo in draga drugemu plačuje pa je, najmanj dela.

Saj to že delajo. Sam da smetano pobirajo odvetniki (Samsung vs. Apple vs. Motorola vs. ...).
Life is as complicated as we make it...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Tudi Microsoft bo plačeval za najdene ranljivosti

Oddelek: Novice / Varnost
133222 (1876) filip007
»

VUPEN že odkril ranljivosti v Windows 8

Oddelek: Novice / Varnost
133378 (2146) ender
»

Facebook širi program nagrajevanja odkritih ranljivosti

Oddelek: Novice / Varnost
52477 (1536) Jst
»

Kdo so VUPEN in kako s preprodajo ranljivosti služijo milijone

Oddelek: Novice / Varnost
4011264 (8303) Iatromantis
»

Google po enem letu podelil najvišjo nagrado za lovce na hrošče v Chromu

Oddelek: Novice / Brskalniki
195155 (2453) c0dehunter

Več podobnih tem