Video: LINA REDT RIDDER UIT DE ZEE! - Kinderen voor Kinderen op weg naar de Grote Show 1 (December 2024)
Een paar dagen geleden rapporteerden onderzoekers van het Zwitserse beveiligingsbedrijf High-Tech Bridge over een eenvoudig experiment. Ze brachten een dag door met het kammen van Yahoo's websites voor bugs, vonden drie serieuze en legden deze voor aan Yahoo, met als doel het programma van het bedrijf voor bugs bounty te evalueren. Hun beloning? $ 12, 50 per bug, alleen inwisselbaar bij Yahoo's bedrijfswinkel. Mogelijk beschaamd door de aandacht voor deze jammerlijk kleine beloning, heeft Yahoo de bugbounty verhoogd. Afhankelijk van de ernst van het gemelde probleem ontvangen onderzoekers nu van $ 150 tot $ 15.000 voor een rapport. En ja, dat is contant, geen t-shirts.
Een persoonlijke dank
In een folksy blogpost van Ramses Martinez, geïdentificeerd als "Director, Yahoo Paranoids, " verklaarde de geschiedenis van het bug bounty-programma en de nieuwe richting. "Ik begon een t-shirt te sturen als persoonlijk bedankje, " zei Martinez. "Ik heb de shirts zelfs met mijn eigen geld gekocht." Later, omdat sommige indieners al een t-shirt hadden ontvangen, "begon ik een cadeaubon te kopen zodat ze een ander cadeau van hun keuze konden krijgen."
Martinez merkt op dat het belangrijkste dat veel onderzoekers nodig hebben in ruil voor het melden van een bug, 'een brief is die ze hun baas of klant kunnen laten zien'. De t-shirts en cadeaubonnen waren gewoon persoonlijk bedankt bovenop. Wat betreft het feitelijke bewijs: "Ik schrijf deze brieven zelf."
Nieuw rapportagebeleid
Per post van Martinez had Yahoo al gerealiseerd dat het beleid inzake bugs-premies een upgrade nodig had. "Het beveiligingsteam legde de laatste hand aan het herziene programma", zei hij. "In plaats van langer te wachten, hebben we besloten om ons nieuwe beleid voor het melden van kwetsbaarheden een beetje vroeg te bekijken."
Je kunt de volledige details lezen in het bericht van Martinez. Yahoo zal het rapportageproces stroomlijnen, rapporten zo snel mogelijk valideren en nog harder werken om problemen tijdig aan te pakken. Met diegenen die geverifieerde bugs melden, wordt "binnen veertien dagen na indiening (maar meestal veel sneller)" gecontacteerd en ontvangen formele erkenning van Yahoo. "Voor de best gemelde problemen, zullen we rechtstreeks van onze site een individuele bijdrage in een 'hall of fame' oproepen."
Ook geen t-shirts of swag meer als beloningen. "Yahoo zal nu individuen en bedrijven belonen die identificeren wat we classificeren als nieuwe, unieke en / of risicovolle kwesties tussen $ 150 - $ 15.000." Wat betreft de grootte van de premie, dat "zal worden bepaald door een duidelijk systeem op basis van een set gedefinieerde elementen die de ernst van het probleem vastleggen." Dit beleid wordt eind oktober van kracht en gaat met terugwerkende kracht terug tot 1 juli 2013. "Dit omvat natuurlijk een controle voor de onderzoekers van High-Tech Bridge die mijn t-shirt niet leuk vonden", zei Martinez..
Een duidelijke verbetering
"We deden niet ons onderzoek voor geld, zoals we duidelijk tegen Yahoo zeiden tijdens het melden van de kwetsbaarheden, " merkte High-Tech Bridge CEO Ilia Kolochenko op. "We zijn echter blij dat Yahoo nu een nieuw Bug Bounty-programma introduceert dat hun relaties met beveiligingsonderzoekers zal vergemakkelijken en hen zal helpen hun bedrijfsbeveiliging te verbeteren. Dat is absoluut goed nieuws."
Het feit blijft echter dat andere grote spelers veel grotere bugs betalen. Microsoft heeft het lang volgehouden, maar eerder dit jaar heeft het een premie van maximaal $ 100.000 ingesteld. Facebook heeft meer dan een miljoen dollar aan beloningen betaald en Google heeft naar verluidt meer dan twee miljoen betaald. Aan de andere kant is Apple's beloning voor degenen die significante bugs vinden, roem, niets meer. Het nieuwe plan van Yahoo valt ergens in het midden; we zullen zien hoe het voor hen werkt.