Реакція спільноти зіграла свою роль - в Yahoo оновили програму винагороди за знайдені вразливості

Реакція спільноти зіграла свою роль - в Yahoo оновили програму винагороди за знайдені вразливості

Пару днів тому по Мережі рознеслася історія з блогу компанії High Tech Bridge, в якій розповідалося як Yahoo мотивує експертів з безпеки повідомляти про знайдені вразливості. Йшлося про те, що у відповідь на повідомлення про наявні XSS на низці піддоменів yahoo.com, фахівці, які знайшли проблеми, отримали винагороду у вигляді купонів на придбання футболок і ручок у фірмовому магазині компанії на суму $12.50.


У відповідь на це Рамзес Мартінес (Ramses Martinez), директор підрозділу Yahoo Paranoids (так в компанії називається команда інженерів, що відповідає за інформаційну безпеку) у своєму пості пояснив чому в його компанії так скромно реагують на досить цінну інформацію, і що відтепер підхід до її оцінки буде серйозно переглянутий у бік збільшення фінансової винагороди.

Як пояснює Мартінез, в Yahoo не існувало жодної формальної дії, що зобов'язує будь-яким чином віддячити авторові за виявлену проблему. Розуміючи, що проста відписка по email зі словами на кшталт «Спасибі, інформація прийнята до відома» виглядає трохи негарно, директор Paranoids став розсилати футболки авторам вразливостей як знак його персональної подяки; мало того, Мартінес купував їх за свої гроші і коли з'ясувалося, що у деяких вже по кілька футболок, то він прийняв логічне рішення відправляти людям знижкові купони, щоб люди могли самі вибрати собі подарунок до душі.

Інша форма визнання заслуг полягала в тому, що Мартінес сам писав email тим авторам, яким було потрібно визнання факту наявності вразливості одним з директорів Yahoo з тим, щоб цей лист можна було показати або своєму босу, або клієнтам як доказ компетенції фахівця з ІБ.

У підсумку Мартінес визнає, що пару днів тому його email був переповнений гнівними листами (ймовірно, мова йде якраз про історію з $12.50), сенс яких полягав у тому, що футболка - це негідна плата за пошук вразливості. І, таким чином, програма винагороди отримала значне оновлення з боку керівництва компанії. Відтепер буде змінена система репортингу про помилки, ще більш ефективно стане працювати команда, яка повинна на них реагувати і, найголовніше, змінена величина грошових виплат авторам, які знайшли вразливості - тепер ця сума буде коливатися від $150 до $15 000 залежно від рівня повідомленої проблеми.

Оновлена політика безпеки набуває чинності з 31 жовтня цього року.

[Джерело]

COM_SPPAGEBUILDER_NO_ITEMS_FOUND