Yahoo verlaat T-shirtbeloningen voor informatie over kwetsbaarheden

Yahoo stopt met het geven van T-shirts als beloning voor het vinden van kwetsbaarheden in de beveiliging na een publieke schande die het "t-shirt gate" noemt. Het bedrijf kreeg last van het Zwitserse beveiligingsbedrijf High-Tech Bridge nadat het vier ernstige kwetsbaarheden in het netwerk van Yahoo had gevonden. , die allemaal nu zijn opgelost. Drie van die problemen - cross-site scripting-fouten - hadden ervoor gezorgd dat een aanvaller iemands Yahoo-e-mailaccount kon kapen.

Vanaf 31 oktober betaalt Yahoo beloningen variërend van $ 150 tot $ 15.000 voor kwetsbaarheden, op voorwaarde dat deze fouten nieuw, uniek of hoog risico zijn. Het is van plan onderzoekers met terugwerkende kracht te belonen die het bedrijf op de hoogte hebben gebracht van problemen die teruggaan tot 1 juli, schreef Ramses Martinez, directeur van het beveiligingsteam van Yahoo, woensdag in een blogpost.

"Dit omvat natuurlijk een cheque voor de onderzoekers van High-Tech Bridge die mijn t-shirt niet leuk vonden," schreef Martinez.

High-Tech Bridge bracht maandag een persbericht uit waarin stond dat Yahoo $ 12,50 aan tegoed bood per kwetsbaarheid, die kan worden gebruikt voor Yahoo-merkartikelen zoals T-shirts, bekers en pennen uit de winkel.

Als gevolg hiervan zei High-Tech Bridge dat het zou wachten om meer onderzoek te doen naar het Yahoo-netwerk. Het bedrijf schreef dat de beloning van Yahoo 'een slechte grap' was.

Ilia Kolochenko, CEO van High Tech Bridge, zei via e-mail dat hij niet op zoek was naar een financiële beloning voor de vondsten van zijn bedrijf, maar hij is blij dat Yahoo de communicatie met beveiligingsonderzoekers verbetert.

'Het is een goed teken', schreef hij

Veel grote bedrijven zoals Google en Facebook bieden lucratieve premies voor informatie over kwetsbaarheden. Google betaalt tot $ 20.000 voor een kwalificerende kwetsbaarheid en Facebook betaalt minimaal $ 500.

Het is goedkoper voor bedrijven om te betalen voor informatie over kwetsbaarheden dan om fulltime onderzoekers in te huren. Het helpt onderzoekers er ook van te weerhouden zich te wenden tot hackforums om geld te verdienen met hun informatie, waar deze informatie zou kunnen worden gebruikt om schade toe te brengen.

Yahoo heeft nooit een formeel proces gehad om beveiligingsonderzoekers te herkennen. Martinez schreef dat hij begon met het sturen van T-shirts naar onderzoekers om dank te betuigen.

'Ik heb de shirts zelfs met mijn eigen geld gekocht', schreef hij.

Maar Yahoo had onlangs besloten om zijn programma voor het melden van kwetsbaarheden te verbeteren. Hoewel Yahoo snel reageerde op de informatie over de kwetsbaarheid die het ontving, 'had mijn idee voor' stuur een t-shirt 'een upgrade nodig', schreef Martinez.

'Deze maand legde het beveiligingsteam de laatste hand aan het herziene programma', schreef hij. 'En toen gisteren de' t-shirt-gate'-hit van gisterochtend. Mijn inbox stond vol met boze e-mail van mensen binnen en buiten Yahoo. Hoe durf ik als dank alleen een t-shirt naar mensen te sturen? '

Yahoo is ook van plan zijn webpagina te verbeteren waar onderzoekers beveiligingsproblemen kunnen indienen. Onderzoekers worden binnen twee weken gecontacteerd, schreef Martinez. Degenen die met succes geldige gebreken hebben ingediend, kunnen ook een e-mail of schriftelijke brief krijgen die als referentie voor hun werk kan worden gebruikt.

"Voor de best gemelde problemen zullen we rechtstreeks vanuit onze site de bijdrage van een individu in een 'hall of fame' roepen", schreef hij..

Stuur nieuwstips en opmerkingen naar [email protected] Volg mij op Twitter: @jeremy_kirk

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.