数日前、ハイテクブリッジの企業ブログの記事がWeb上に広がり、Yahooがセキュリティの専門家に脆弱性を報告する動機を与えた方法を説明しました。 多くのyahoo.comサブドメインに関する既存のXSSの報告に応じて、問題を発見した専門家は、会社の店舗でTシャツとペンを12.50ドルで購入すると、クーポンの形で報酬を受け取りました。
回答として、Yahoo ParanoidsのディレクターであるRamses Martinez(同社は情報セキュリティを担当するエンジニアチームに電話しているため)は、彼の会社がかなり価値のある情報に対してそれほど控えめに反応する理由と、今後のアプローチについて説明しました。財務上の見返りを高めるために、評価が大幅に上方修正されます。
Martinezが説明するように、発見された問題に対して著者に感謝する義務を負った正式な行動はYahooにはなかった。 Paranoidsのディレクターは、「ありがとう、情報を書き留めました」などの言葉を含む簡単な電子メールの返信がlittleいように見えることに気付き、個人的な感謝のしるしとしてTシャツを脆弱性の作者に送り始めました。 さらに、マルティネスはお金のためにそれらを購入し、いくつかのTシャツを持っていることが判明したとき、彼は人々が自分のギフトを選ぶことができるように人々に割引クーポンを送ることを論理的に決定しました。
別の認識形式は、マルティネス自身がYahooディレクターの1人の脆弱性を認める必要がある著者にメールを書いて、この手紙が情報セキュリティ専門家の能力の証拠として上司またはクライアントに見せられるようにすることでした。
結局、マルティネスは数日前に彼のメールが怒った手紙でいっぱいになったことを認めている(おそらく物語はわずか約12.50ドルである)、その意味はTシャツは脆弱性を見つけるのにふさわしくないということだった。 したがって、報酬プログラムは会社の経営陣から重要な更新を受けました。 今後、エラーの報告システムが変更され、エラーに対応するチームはさらに効率的に機能し、最も重要なことには、脆弱性を発見した著者への現金支払い額が変更されます-現在、この金額は報告された問題のレベルに応じて150ドルから15,000ドルの範囲です。
更新されたセキュリティポリシーは、今年10月31日に施行されます。
[ ソース ]
コミュニティの反応が一役買った-見つかった脆弱性に対する報酬プログラムをYahooが更新
All Articles