Pirms pāris dienām Šveices drošības firmas High-Tech Bridge pētnieki ziņoja par vienkāršu eksperimentu. Viņi pavadīja dienu, ķemmējot Yahoo vietnes, lai uzzinātu par kļūdām, atrada trīs nopietnas vietnes un iesniedza tās Yahoo, lai novērtētu uzņēmuma kļūdu novēršanas programmu. Viņu atlīdzība? USD 12, 50 par kļūdu, to var atgūt tikai Yahoo uzņēmuma veikalā. Iespējams, kauns par uzmanību, kas vērsta uz šo žēlīgi mazo atalgojumu, Yahoo ir palielinājis kļūdu veltes. Atkarībā no paziņotās problēmas nopietnības pētnieki tagad saņems no USD 150 līdz USD 15 000 par ziņojumu. Jā, tas ir naudā, nevis t-kreklos.
Personīgs paldies
Ramses Martinezas nepatīkamā emuāra ierakstā, kas identificēts kā “Yahoo Paranoids direktors”, tika izskaidrota kļūdaino bagātību programmas vēsture un tās jaunais virziens. "Es sāku sūtīt t-kreklu kā personīgu" paldies ", " sacīja Martinezs. "Es pat nopirku kreklus par savu naudu." Vēlāk, jo daži iesniedzēji jau bija saņēmuši t-kreklu, es sāku pirkt dāvanu sertifikātu, lai viņi varētu saņemt citu dāvanu pēc savas izvēles.
Martinezs atzīmē, ka galvenā lieta, kas daudziem pētniekiem nepieciešama apmaiņā pret ziņošanu par kļūdu, ir "vēstule, ko viņi varētu parādīt savam priekšniekam vai klientam". T-krekli un dāvanu sertifikāti bija tikai personiska pateicība. Attiecībā uz faktisko pierādījumu: "Es pats rakstu šīs vēstules".
Jaunā ziņošanas politika
Per Martineza amatā Yahoo jau bija sapratis, ka kļūmju novēršanas politikai ir nepieciešams jauninājums. "Drošības komanda pielika pēdējos labojumus pārskatītajai programmai, " viņš sacīja. "Tā vietā, lai gaidītu ilgāk, mēs esam nolēmuši mazliet agri pārskatīt jauno ziņojumu par ievainojamības politiku."
Pilnu informāciju varat izlasīt Martineza amatā. Yahoo racionalizēs ziņošanas procesu, strādās pie tā, lai pēc iespējas ātrāk apstiprinātu pārskatus, un strādās vēl intensīvāk, lai savlaicīgi risinātu problēmas. Ar tiem, kas ziņo par pārbaudītām kļūdām, sazināsies "ne vēlāk kā četrpadsmit dienu laikā pēc iesniegšanas (bet parasti daudz ātrāk)" un saņems oficiālu atzīšanu no Yahoo. "Par vislabāk ziņotajām problēmām mēs tieši no mūsu vietnes aicināsim indivīda ieguldījumu" slavas zālē "."
Tāpat vairs nav t-kreklu vai laupījumu kā atlīdzību. "Yahoo tagad apbalvos personas un firmas, kas identificē to, ko mēs klasificējam kā jaunas, unikālas un / vai augsta riska problēmas, sākot no USD 150 līdz USD 15 000." Runājot par veltes lielumu, to "noteiks skaidra sistēma, kuras pamatā ir noteiktu elementu kopums, kas atspoguļo problēmas nopietnību". Šī politika stāsies spēkā oktobra beigās un ar atpakaļejošu datumu sāksies līdz 2013. gada 1. jūlijam. "Tas, protams, ietver pārbaudi pie High-Tech Bridge pētniekiem, kuriem nepatika mans krekls, " atšifrēja Martinezs.
Noteikts uzlabojums
"Mēs neveicām pētījumu naudas dēļ, kā mēs skaidri teicām Yahoo, vienlaikus ziņojot par ievainojamībām, " atzīmēja High-Tech Bridge izpilddirektore Ilia Koločenko. "Tomēr mēs priecājamies, ka Yahoo tagad ievieš jaunu programmu Bug Bounty, kas atvieglos viņu attiecības ar drošības pētniekiem un palīdzēs uzlabot viņu korporatīvo drošību. Tas noteikti ir labas ziņas."
Tomēr paliek fakts, ka citi lielākie spēlētāji izmaksā daudz lielākus kļūdu maksājumus. Microsoft ilgstoši izturēja spēkus, bet šī gada sākumā ieviesa lielgabals līdz 100 000 USD. Facebook ir samaksājis vairāk nekā miljonu dolāru par kļūdu samaksu, un Google, kā ziņots, ir samaksājis vairāk nekā divus miljonus. No otras puses, Apple atlīdzība tiem, kas atrod nozīmīgas kļūdas, ir slava, nekas vairāk. Yahoo jaunais plāns ietilpst kaut kur pa vidu; redzēsim, kā tas viņiem izdodas.
