Videó: How America Bungled the Plague | NYT Opinion (November 2024)
Néhány nappal ezelőtt a svájci High-Tech Bridge biztonsági cég kutatói beszámoltak egy egyszerű kísérletről. Egy napot eltöltöttek a Yahoo webhelyeinek hibáinak feltárásán, három súlyos weblapot találtak, és beküldték őket a Yahoo-hoz, a társaság hibajavító programjának értékelése céljából. A jutalom? Bugonként 12, 50 USD, csak a Yahoo vállalati üzletében váltható be. A Yahoo ezt a szánalmasan kicsi jutalmat célzó figyelem miatt szégyentelte, és a Yahoo felvetette a hibahiányt. A jelentett probléma súlyosságától függően a kutatók most 150–15 000 dollárt kapnak egy jelentésért. És igen, ez készpénzben van, nem pólóban.
Személyes köszönet
A Ramses Martinez „Yahoo Paranoids rendezőként” azonosított blogbejegyzésében elmagyarázta a bug bounty program történetét és annak új irányát. "Elkezdtem pólót küldeni személyes köszönetként" - mondta Martinez. "Még az inget is megvettem a saját pénzemmel." Később, mivel néhány benyújtó már kapott pólót, "elkezdtem vásárolni egy ajándékutalványt, hogy újabb ajándékot kapjanak a választásuk szerint."
Martinez megjegyzi, hogy sok kutatónak a hiba bejelentéséért cserébe a legfontosabb dolog: "egy levél, amelyet megmutathatnak főnökeiknek vagy ügyfeleiknek". A pólók és ajándékutalványok csak személyes köszönet voltak a tetején. Ami a tényleges bizonyítékot illeti, "ezeket a leveleket magam írok".
Új jelentési politika
Per Martinez hozzászólása szerint a Yahoo már rájött, hogy a hibajavaslatokra vonatkozó politika frissítést igényel. "A biztonsági csapat befejezte a felülvizsgált programot" - mondta. "Ahelyett, hogy tovább várakoznánk, úgy döntöttünk, hogy egy kicsit korán áttekintettük az új biztonsági rést jelentő politikánkat."
A részleteket Martinez bejegyzésében olvashatja el. A Yahoo korszerűsíti a jelentési folyamatot, a lehető leghamarabb validálja a jelentéseket, és még erőteljesebben dolgozik a problémák időben történő megoldása érdekében. Az ellenőrzött hibákat jelentő személyekkel "a benyújtást követő tizennégy napon belül (de általában sokkal gyorsabban) lépnek kapcsolatba és hivatalos elismerést kapnak a Yahoo-tól. "A legeredményesebben bejelentett kérdésekhez közvetlenül felhívjuk a webhelyünkről az egyén hozzájárulását egy" hírességek csarnokában "."
Ezenkívül nincs több póló vagy szajha jutalomként. "A Yahoo most jutalmazni fogja azokat az egyéneket és cégeket, akik 150 - 15 000 dollár között azonosítják azt, amit új, egyedi és / vagy nagy kockázatúnak nyilvánítunk." A hatalom nagyságát illetően ezt "egy világos rendszer határozza meg, amely meghatározott elemek halmazán alapul, amelyek rögzítik a probléma súlyosságát". Ez az irányelv október végéig lép hatályba, és 2013. július 1-jétől visszamenőleges hatállyal bír. "Ez természetesen magában foglalja a High-Tech Bridge kutatóinak ellenőrzését, akiknek nem tetszett a pólóm" - mormolta Martinez.
Határozott fejlesztés
"Nem pénzért végeztük kutatásainkat, amint egyértelműen azt mondtuk a Yahoo-nak, miközben a sérülékenységeket jelentettük" - jegyezte meg Ilia Kolochenko, a High-Tech Bridge vezérigazgatója. "Örülünk azonban, hogy a Yahoo most új Bug Bounty programot vezet be, amely megkönnyíti kapcsolataikat a biztonsági kutatókkal és segíti őket vállalati biztonságának javításában. Ez határozottan jó hír."
A tény azonban továbbra is az, hogy más nagyobb szereplők sokkal nagyobb hibákat fizetnek ki. A Microsoft hosszú ideje tartott fenn, de ez év elején akár 100 000 dollár jutalékot hozott létre. A Facebook több mint egymillió dollárt fizetett be hibákat, a Google pedig állítólag több mint kétmilliót fizetett be. Ami a legfontosabb oldalt illeti, az Apple jutalma azok számára, akik jelentős hibákat találnak, hírnév, semmi több. A Yahoo új terve valahol a közepén esik; meglátjuk, hogy működik nekik.
