Video: Yahoo reassures users over malware fears (Tháng Chín 2024)
Vài ngày trước, các nhà nghiên cứu từ công ty bảo mật High-Tech Bridge của Thụy Sĩ đã báo cáo về một thí nghiệm đơn giản. Họ đã dành một ngày để tìm kiếm các trang web của Yahoo để tìm lỗi, tìm ra ba lỗi nghiêm trọng và gửi chúng cho Yahoo, với mục đích đánh giá chương trình tiền thưởng lỗi của công ty. Phần thưởng của họ? $ 12, 50 mỗi lỗi, chỉ có thể đổi tại cửa hàng công ty của Yahoo. Có thể xấu hổ vì sự chú ý nhắm vào phần thưởng nhỏ đáng thương này, Yahoo đã đưa ra tiền thưởng lỗi. Tùy thuộc vào mức độ nghiêm trọng của vấn đề được báo cáo, các nhà nghiên cứu hiện sẽ nhận được từ 150 đến 15.000 đô la cho một báo cáo. Và vâng, đó là tiền mặt, không phải áo phông.
Một lời cảm ơn cá nhân
Trong một bài đăng trên blog của mọi người bởi Ramkes Martinez, được xác định là "Giám đốc, Yahoo Paranoids", đã giải thích lịch sử của chương trình tiền thưởng lỗi và hướng đi mới của nó. "Tôi bắt đầu gửi áo phông như một lời cảm ơn cá nhân", "Martinez nói. "Tôi thậm chí đã mua những chiếc áo bằng tiền của mình." Sau đó, vì một số người nộp đã nhận được áo phông, "Tôi bắt đầu mua giấy chứng nhận quà tặng để họ có thể nhận được một món quà khác theo lựa chọn của họ."
Martinez lưu ý rằng điều chính mà nhiều nhà nghiên cứu cần để đổi lấy việc báo cáo lỗi là "một lá thư họ có thể cho sếp hoặc khách hàng của họ biết". Áo phông và giấy chứng nhận quà tặng chỉ là lời cảm ơn cá nhân trên đầu. Đối với bằng chứng thực tế, "Tôi tự viết những lá thư này."
Chính sách báo cáo mới
Theo bài đăng của Martinez, Yahoo đã nhận ra chính sách tiền thưởng lỗi cần nâng cấp. "Đội an ninh đã đưa những điểm hoàn thiện vào chương trình sửa đổi, " ông nói. "Thay vì chờ đợi lâu hơn, chúng tôi đã quyết định xem trước chính sách báo cáo lỗ hổng mới của chúng tôi sớm một chút."
Bạn có thể đọc chi tiết đầy đủ trong bài của Martinez. Yahoo sẽ hợp lý hóa quy trình báo cáo, làm việc để xác nhận các báo cáo càng sớm càng tốt và làm việc chăm chỉ hơn nữa để giải quyết các vấn đề một cách kịp thời. Những lỗi được báo cáo đã được xác minh sẽ được liên hệ "không quá mười bốn ngày sau khi gửi (nhưng thường nhanh hơn nhiều)" và sẽ nhận được sự công nhận chính thức từ Yahoo. "Đối với các vấn đề được báo cáo tốt nhất, chúng tôi sẽ trực tiếp gọi từ trang web của chúng tôi một đóng góp của một cá nhân trong một 'hội trường của sự nổi tiếng'."
Ngoài ra, không có thêm áo phông hoặc swag như phần thưởng. "Yahoo hiện sẽ thưởng cho các cá nhân và công ty xác định những gì chúng tôi phân loại là các vấn đề mới, duy nhất và / hoặc rủi ro cao trong khoảng từ 150 - 15.000 đô la." Đối với quy mô của tiền thưởng, "điều đó sẽ được xác định bởi một hệ thống rõ ràng dựa trên một tập hợp các yếu tố được xác định nắm bắt mức độ nghiêm trọng của vấn đề." Chính sách này sẽ có hiệu lực vào cuối tháng 10 và sẽ được hồi tố đến ngày 1 tháng 7 năm 2013. "Tất nhiên, điều này bao gồm một kiểm tra cho các nhà nghiên cứu tại Cầu công nghệ cao, người không thích áo phông của tôi", Martinez châm biếm .
Một sự cải tiến nhất định
"Chúng tôi đã không thực hiện nghiên cứu của mình vì tiền, vì chúng tôi đã nói rõ ràng với Yahoo trong khi báo cáo các lỗ hổng", Giám đốc điều hành của High-Tech Bridge, Ilia Kolochenko lưu ý. "Tuy nhiên, chúng tôi rất vui vì Yahoo hiện đang giới thiệu Chương trình Bug Bounty mới sẽ tạo điều kiện cho mối quan hệ của họ với các nhà nghiên cứu bảo mật và giúp họ cải thiện an ninh công ty. Đó chắc chắn là tin tốt."
Mặc dù vậy, sự thật vẫn là những người chơi lớn khác trả tiền thưởng lỗi lớn hơn nhiều. Microsoft đã tổ chức trong một thời gian dài, nhưng đầu năm nay đã tạo ra một khoản tiền thưởng lên tới 100.000 đô la. Facebook đã trả hơn một triệu đô la tiền thưởng lỗi và Google đã trả hơn hai triệu. Mặt khác, phần thưởng của Apple cho những người tìm thấy lỗi đáng kể là sự nổi tiếng, không có gì hơn thế. Kế hoạch mới của Yahoo rơi ở đâu đó ở giữa; chúng ta sẽ thấy nó hoạt động ra sao đối với họ.
