Video: Review Acc Top 1 Champion Cụm 12 Tháng 11 Vừa Qua|Kẻ Đánh Bại One Pine??? (Tháng Chín 2024)
Các nhà nghiên cứu bảo mật chuyên kiểm tra thâm nhập dành cả ngày (và đêm) để cố gắng phá vỡ các hệ thống an ninh. Nếu họ tìm thấy lỗ hổng bảo mật trong sản phẩm trước khi kẻ xấu làm điều đó, thì nó sẽ cho nhà sản xuất sản phẩm thời gian để đưa ra một bản vá. Những gì trong đó cho các nhà nghiên cứu? Có thể một khoản tiền thưởng lỗi 100.000 đô la, nếu vấn đề là ở một sản phẩm của Microsoft. Các nhà nghiên cứu tại High-Tech Bridge, một công ty dịch vụ bảo mật và thử nghiệm thâm nhập, báo cáo rằng Yahoo cũng cung cấp một tiền thưởng lỗi. Người báo cáo đầu tiên về lỗi bảo mật có thể kiểm chứng được … $ 12, 50, chỉ có thể đổi được trong cửa hàng công ty của Yahoo về "áo phông công ty, cốc, bút và các phụ kiện khác." Thật sao, Yahoo?
Nhanh chóng bị nứt
Trang web Bảo mật tại Yahoo báo cáo về các bước bảo mật đã được thực hiện bởi công ty, cùng với một bộ mẹo. Các cá nhân nghĩ rằng tài khoản của họ đã bị hack hoặc bị xâm nhập có thể liên hệ với Yahoo từ trang này để được giúp đỡ. Nó cũng tuyên bố: "Nếu bạn là thành viên của cộng đồng bảo mật và cần báo cáo lỗ hổng kỹ thuật, hãy liên hệ: [email protected]."
Để đánh giá hệ thống Bug Bounty, các nhà nghiên cứu của Cầu công nghệ cao đã ngồi xuống và bắt đầu tìm kiếm các lỗ hổng bảo mật trong các trang web của Yahoo. Họ đã tìm thấy ngay lập tức, nhưng nó đã được báo cáo. Trong vài ngày khác, họ đã tìm thấy thêm ba lỗ hổng kịch bản chéo trang web, tất cả đều mới. . Khi người dùng nhấp vào liên kết đó, trò chơi sẽ kết thúc.
Các nhà nghiên cứu của Yahoo đã xác minh rằng những lỗ hổng này thực sự tồn tại (chúng đã được sửa chữa). Họ đã cung cấp cho nhóm nghiên cứu một lời cảm ơn nồng nhiệt và phần thưởng trị giá 12, 50 đô la cho mỗi lỗi, có thể đổi được tại cửa hàng của công ty. Các nhà nghiên cứu đã không ấn tượng; báo cáo nêu rõ, "Tại thời điểm này, chúng tôi quyết định ngừng nghiên cứu thêm."
Tiền thưởng lớn hơn
Microsoft sẽ trả một khoản tiền thưởng 100.000 đô la cho một số báo cáo. Facebook đã trả hơn một triệu đô la. Apple không trả tiền thưởng lỗi, nhưng thưởng cho "tiết lộ có trách nhiệm" với sự nổi tiếng. Đối với tôi, chính sách không có tiền mặt của Apple có vẻ tốt hơn so với trao giải thay đổi lớn.
"Yahoo có lẽ nên xem xét lại mối quan hệ của họ với các nhà nghiên cứu bảo mật", Ilia Kolochenko, CEO của High-Tech Bridge, nhận xét. "Trả vài đô la cho mỗi lỗ hổng là một trò đùa tồi tệ và sẽ không thúc đẩy mọi người báo cáo các lỗ hổng bảo mật cho họ, đặc biệt là khi các lỗ hổng đó có thể dễ dàng được bán trên thị trường chợ đen với giá cao hơn nhiều." Ông kết luận rằng nếu Yahoo không chi nhiều hơn cho bảo mật doanh nghiệp, "không khách hàng nào của Yahoo có thể cảm thấy an toàn."
Các công ty khác đã yêu cầu prodding nhận ra rằng tiền thưởng lỗi trả hết thời gian lớn. Một vài năm trước, Facebook đã cung cấp chỉ 500 đô la. Gần đây, một nhà nghiên cứu, đã từ chối tiền thưởng của Facebook, đã chứng minh khám phá của mình bằng cách đăng lên tường của Mark Zuckerberg. Brian Martin, Chủ tịch Quỹ Bảo mật Mở, lưu ý rằng "Ngay cả Microsoft, người khét tiếng nhất trong các chương trình tiền thưởng lỗi cũng nhận ra giá trị và nhảy lên trước phần còn lại, cung cấp tới 100.000 đô la." Ông tiếp tục nói, "Một số trong những công ty này trả cho người gác cổng của họ nhiều tiền hơn để làm sạch văn phòng của họ, hơn là các nhà nghiên cứu bảo mật tìm thấy các lỗ hổng có thể khiến hàng ngàn khách hàng của họ gặp rủi ro."
Tôi phải đồng ý. Nếu các nhà cung cấp sẽ không trả tiền cho những khám phá của các nhà nghiên cứu bảo mật, chắc chắn sẽ có những người khác sẽ làm. Chúng tôi không muốn những nhà nghiên cứu thông minh đó chuyển sang Mặt tối để nuôi con của họ.
