大企業が情報セキュリティの専門家に発見されたバグに対する特別な報酬を支払う場合、よく知られた慣行があります。たとえば、Google、Facebook、Mozillaなどが行います。
特定の会社であるHigh Tech Bridge(CEOの名前はIlia Kolochenko)は、上記のリストに少なくとも公開されていないYahooサイトの強さを確認することにしました。 約45分で、Firefoxを使用して最初のXSS脆弱性のみが発見され、すぐにYahooに報告されました。 しかし、彼らは、会社がすでにその情報を知っていたため、情報を評価できないと判断しました。
ハイテクブリッジのこの少し奇妙な回答では、落ち着かずに検索を続けました。 Yahoo Security Teamで数日間にわたって、XSSの脆弱性( ecom.yahoo.comおよびadserver.yahoo.comドメインを含む )についてさらに3つのバグレポートが送信され、最終的に報酬の問題が積極的に解決されたという回答を受け取りました。 Yahooは、見つかった問題ごとに12.50ドルを支払います。
同時に、報酬はYahoo Company Storeの割引クーポンの形で(もちろん、必要に応じて)支払われます。ここでは、指定された金額で企業シンボル、野球帽、ペン、Tシャツなどを購入できます。
発見された脆弱性に対するFacebookの最低価格は500ドルです。
[ ソース ]