บ้าน Securitywatch Yahoo เสนอรางวัลบั๊กที่น่าเศร้า: $ 12.50 ใน บริษัท ย้อย

Yahoo เสนอรางวัลบั๊กที่น่าเศร้า: $ 12.50 ใน บริษัท ย้อย

วีดีโอ: песня(3)]××÷•€√€ππ€√€÷¥™ππ√π (ธันวาคม 2024)

วีดีโอ: песня(3)]××÷•€√€ππ€√€÷¥™ππ√π (ธันวาคม 2024)
Anonim

นักวิจัยด้านความปลอดภัยที่มีความเชี่ยวชาญในการทดสอบการเจาะใช้เวลา (และคืน) พยายามทำลายระบบรักษาความปลอดภัย หากพวกเขาพบช่องโหว่ด้านความปลอดภัยในผลิตภัณฑ์ก่อนที่คนร้ายจะให้เวลากับผู้สร้างผลิตภัณฑ์ในการผลักปะแก้ไข สำหรับนักวิจัยคืออะไร อาจเป็นเงินรางวัล $ 100, 000 หากปัญหาอยู่ในผลิตภัณฑ์ของ Microsoft นักวิจัยที่ High-Tech Bridge ซึ่งเป็น บริษัท ด้านความปลอดภัยและ บริษัท ทดสอบการเจาะรายงานว่า Yahoo เสนอข้อบกพร่องมากมายเช่นกัน นักข่าวคนแรกของข้อผิดพลาดด้านความปลอดภัยที่ตรวจสอบได้รับ … $ 12.50 สามารถแลกได้เฉพาะในร้านค้าของ บริษัท Yahoo สำหรับ "เสื้อยืดองค์กร, ถ้วย, ปากกาและอุปกรณ์เสริมอื่น ๆ " จริงเหรอ

แคร็กอย่างรวดเร็ว

เว็บเพจความปลอดภัยของ Yahoo รายงานเกี่ยวกับขั้นตอนความปลอดภัยที่ บริษัท ได้ดำเนินการไปแล้วพร้อมกับเคล็ดลับต่างๆ บุคคลที่คิดว่าบัญชีของพวกเขาถูกแฮ็กหรือถูกบุกรุกสามารถติดต่อ Yahoo ได้จากหน้านี้เพื่อขอความช่วยเหลือ นอกจากนี้ยังระบุว่า "หากคุณเป็นสมาชิกของชุมชนความปลอดภัยและต้องการรายงานช่องโหว่ทางเทคนิคโปรดติดต่อ: [email protected]"

ในการประเมินระบบ Bug Bounty นักวิจัยของสะพานไฮเทคนั่งลงและเริ่มมองหาช่องโหว่ด้านความปลอดภัยในเว็บไซต์ของ Yahoo พวกเขาพบหนึ่งทันที แต่มันได้รับการรายงานแล้ว ในช่วงสองสามวันที่ผ่านมาพวกเขาพบช่องโหว่การเขียนสคริปต์ข้ามไซต์อีกสามช่องซึ่งเป็นช่องโหว่ใหม่ทั้งหมด (นั่นเป็นเรื่องที่ค่อนข้างน่าตกใจใช่หรือไม่?) ตามรายงาน "ช่องโหว่ที่ค้นพบแต่ละรายการอนุญาตให้บัญชีอีเมล @ yahoo.com ใด ๆ ถูกโจมตีได้ง่ายๆเพียงส่งลิงค์ที่ออกแบบมาเป็นพิเศษไปยังผู้ใช้ Yahoo ที่ล็อกอิน เมื่อผู้ใช้คลิกที่ลิงค์มันจะจบลง

นักวิจัยของ Yahoo ยืนยันว่าช่องโหว่เหล่านี้มีอยู่จริงแล้ว (นับตั้งแต่ได้รับการแก้ไขแล้ว) พวกเขาเสนอให้คุณขอบคุณทีมวิจัยมากมายและได้รับรางวัล $ 12.50 ต่อบั๊กสามารถแลกได้ที่ร้านค้าของ บริษัท นักวิจัยไม่ประทับใจ รายงานระบุว่า "ณ จุดนี้เราตัดสินใจหยุดการวิจัยต่อไป"

รางวัลใหญ่

Microsoft จะจ่ายเงินรางวัล $ 100, 000 สำหรับบางรายงาน Facebook จ่ายเงินไปแล้วกว่าล้านดอลลาร์ Apple ไม่จ่ายเงินค่าบั๊ก แต่ให้รางวัล "การเปิดเผยอย่างรับผิดชอบ" ด้วยชื่อเสียง สำหรับฉันแล้วนโยบายการสร้างชื่อเสียงที่ไม่เป็นตัวเงินของ Apple นั้นดูเหมือนจะดีกว่าการมอบรางวัลการเปลี่ยนชิ้นส่วน

“ Yahoo น่าจะทบทวนความสัมพันธ์กับนักวิจัยด้านความปลอดภัย” Ilia Kolochenko ซีอีโอของไฮเทคบริดจ์ให้ความเห็น "การจ่ายเงินหลายดอลลาร์ต่อช่องโหว่เป็นเรื่องตลกที่ไม่ดีและจะไม่กระตุ้นให้ผู้คนรายงานช่องโหว่ด้านความปลอดภัยต่อพวกเขาโดยเฉพาะเมื่อช่องโหว่ดังกล่าวสามารถขายได้ง่ายในตลาดมืดในราคาที่สูงกว่ามาก" เขาสรุปว่าหาก Yahoo ไม่ได้ใช้จ่ายกับการรักษาความปลอดภัยขององค์กรมากขึ้น "ลูกค้าของ Yahoo จะไม่รู้สึกปลอดภัย"

บริษัท อื่น ๆ จำเป็นต้องมีการผลิตเพื่อให้ตระหนักว่าการจ่ายเงินบั๊กนั้นเป็นการจ่ายครั้งใหญ่ ไม่กี่ปีที่ผ่านมา Facebook เสนอราคาเพียง $ 500 เมื่อไม่นานมานี้นักวิจัยคนหนึ่งได้ปฏิเสธความโปรดปรานของ Facebook แสดงให้เห็นการค้นพบของเขาโดยการโพสต์บนผนังของ Mark Zuckerberg ไบรอันมาร์ตินประธานมูลนิธิ Open Security Foundation กล่าวว่า "แม้แต่ไมโครซอฟท์ซึ่งเป็นผู้ที่ได้รับความไว้วางใจมากที่สุดในโปรแกรมบั๊กโปรดปรานรับรู้ถึงคุณค่าและก้าวไปข้างหน้าส่วนที่เหลือด้วยมูลค่าสูงสุดถึง 100, 000 ดอลลาร์" เขากล่าวต่อไปว่า "บริษัท เหล่านี้บางแห่งจ่ายเงินให้ภารโรงมากขึ้นเพื่อทำความสะอาดสำนักงานของพวกเขามากกว่าที่พวกเขาทำวิจัยด้านความปลอดภัยเพื่อค้นหาช่องโหว่ที่อาจทำให้ลูกค้าหลายพันรายตกอยู่ในความเสี่ยง"

ฉันต้องยอมรับ หากผู้ขายจะไม่จ่ายเงินสำหรับการค้นพบโดยนักวิจัยด้านความปลอดภัยก็มีคนอื่นที่จะ เราไม่ต้องการให้นักวิจัยที่ฉลาดเหล่านั้นหันไปทางด้านมืดเพื่อเลี้ยงลูก ๆ ของพวกเขา

Yahoo เสนอรางวัลบั๊กที่น่าเศร้า: $ 12.50 ใน บริษัท ย้อย