Vídeo: Tout savoir sur les insectes (Setembre 2024)
Fa uns dies, els investigadors de la firma de seguretat suïssa High-Tech Bridge van informar sobre un senzill experiment. Van passar un dia pentinant els llocs web de Yahoo per trobar errors, en van trobar tres de seriosos i els van enviar a Yahoo per tal d’avaluar el programa de recompenses d’errors de l’empresa. La seva recompensa? 12, 50 dòlars per error, bescanviable només a la botiga de l’empresa de Yahoo. Possiblement avergonyit per l’atenció dirigida a aquesta recompensa minúscula, Yahoo ha elevat la recompensa d’errors. Segons la gravetat del problema denunciat, els investigadors ara rebran de 150 a 15.000 dòlars per obtenir un informe. I sí, això és en efectiu, no les samarretes.
Un agraïment personal
En una publicació al blog de Ramses Martinez, identificada com "Director, Yahoo Paranoids", explicava la història del programa de recompenses d'errors i la seva nova direcció. "Vaig començar a enviar una samarreta com a personal" gràcies ", va dir Martínez. "Fins i tot vaig comprar les samarretes amb els meus propis diners." Més tard, com que alguns enviats ja havien rebut una samarreta, "vaig començar a comprar un certificat de regal perquè poguessin obtenir un altre regal que escollís".
Martínez assenyala que el principal que necessiten molts investigadors a canvi de denunciar un error és "una carta que podrien mostrar el seu cap o client". Les samarretes i els certificats de regal només van ser gràcies personalment. Pel que fa a la prova real, "jo mateix escric aquestes cartes".
Nova política d'informes
Per la publicació de Martinez, Yahoo ja s'havia adonat de la política de recompensa d'errors que necessitava una actualització. "L'equip de seguretat va posar els darrers canvis en el programa revisat", va dir. "En lloc d'esperar més, hem decidit previsualitzar una mica la nostra nova política d'informes de vulnerabilitat."
Podeu llegir els detalls complets a la publicació de Martínez. Yahoo agilitzarà el procés d’informes, treballarà per validar els informes el més aviat possible i treballarà encara més per solucionar els problemes de manera puntual. Els que informin d’errors verificats seran contactats "en un màxim de catorze dies després de la presentació (però normalment molt més ràpid)" i rebran un reconeixement formal de Yahoo. "Per als temes més ben comunicats, cridarem directament al lloc web la contribució d'un individu a un" saló de la fama "."
A més, no hi ha més samarretes o swag com a recompenses. "Yahoo premiarà ara les persones i les empreses que identifiquen allò que classifiquem com a problemes nous, únics i / o d’alt risc entre 150 i 15.000 dòlars." Pel que fa a la mida de la recompensa, aquesta "serà determinada per un sistema clar basat en un conjunt d'elements definits que capturen la gravetat del problema". Aquesta política entrarà en vigor a finals d'octubre i serà retroactiva fins a l'1 de juliol de 2013. "Això inclou, per descomptat, un control per als investigadors del High-Tech Bridge que no els va agradar la meva samarreta", va dir Martínez..
Una millora definitiva
"No estàvem fent la nostra recerca per diners, com vam dir clarament a Yahoo mentre informàvem de les vulnerabilitats", va assenyalar Ilia Kolochenko, CEO de High-Tech Bridge. "Tot i així, ens alegrem que Yahoo estigui introduint un nou programa de recompenses de bug que facilitarà les seves relacions amb investigadors en seguretat i els ajudarà a millorar la seva seguretat corporativa. Sens dubte és una bona notícia."
El fet continua sent, però, que altres jugadors importants paguen recomptes molt més grans. Microsoft va aguantar durant molt de temps, però a principis d’aquest any va instituir un recompte de fins a 100.000 dòlars. Facebook ha pagat més d’un milió de dòlars en recompenses d’errors i, segons ha suposat, Google ha pagat més de dos milions. Pel que fa a l'extinció, la recompensa d'Apple als que trobin errors importants és la fama, res més. El nou pla de Yahoo es troba en algun lloc del centre; veurem com funciona per a ells.
