วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (กันยายน 2024)
สองสามวันที่ผ่านมานักวิจัยจาก บริษัท รักษาความปลอดภัยระดับสูงของไฮเทคบริดจ์รายงานการทดลองอย่างง่าย พวกเขาใช้เวลาหนึ่งวันทำการรวบรวมเว็บไซต์ของ Yahoo เพื่อหาข้อผิดพลาดพบข้อบกพร่องร้ายแรงสามข้อและส่งพวกเขาไปยัง Yahoo เพื่อประเมินโปรแกรมการให้รางวัลของ บริษัท รางวัลของพวกเขา? $ 12.50 ต่อข้อผิดพลาดสามารถแลกได้ที่ร้านค้าของ Yahoo เท่านั้น ความอับอายอาจเป็นไปได้ที่ความสนใจมุ่งเป้าไปที่รางวัลเล็ก ๆ ที่น่าสมเพชนี้ Yahoo ได้ยกระดับความผิดพลาด ขึ้นอยู่กับความรุนแรงของปัญหาที่รายงานตอนนี้นักวิจัยจะได้รับจาก $ 150 ถึง $ 15, 000 สำหรับการรายงาน และใช่เป็นเงินสดไม่ใช่เสื้อยืด
ขอขอบคุณส่วนตัว
ในการโพสต์บล็อกคนโดย Ramses Martinez ระบุว่า "ผู้อำนวยการ, Yahoo Paranoids, " อธิบายประวัติของโปรแกรมรางวัลบั๊กและทิศทางใหม่ของมัน "ฉันเริ่มส่งเสื้อยืดเพื่อเป็นการขอบคุณ 'ส่วนตัว'" มาร์ติเนซกล่าว "ฉันซื้อเสื้อด้วยเงินของฉันเอง" ต่อมาเนื่องจากผู้ส่งบางรายได้รับเสื้อยืดแล้ว "ฉันเริ่มซื้อบัตรกำนัลเพื่อให้พวกเขาได้รับของขวัญอีกทางเลือกหนึ่ง"
มาร์ติเนซกล่าวว่าสิ่งสำคัญที่นักวิจัยหลายคนต้องการเพื่อแลกเปลี่ยนรายงานข้อผิดพลาดคือ "จดหมายที่พวกเขาสามารถแสดงให้เจ้านายหรือลูกค้าของพวกเขารู้ได้" เสื้อยืดและบัตรกำนัลเป็นเพียงส่วนบุคคลขอบคุณบน สำหรับหลักฐานที่แท้จริง "ฉันเขียนจดหมายเหล่านี้ด้วยตัวเอง"
นโยบายการรายงานใหม่
โพสต์ของ Martinez นั้น Yahoo ได้ตระหนักแล้วว่านโยบายการรับบั๊กที่จำเป็นต้องมีการอัพเกรด “ ทีมรักษาความปลอดภัยได้นำความประทับใจมาสู่โปรแกรมปรับปรุง” เขากล่าว "แทนที่จะรออีกต่อไปเราจึงตัดสินใจดูตัวอย่างนโยบายการรายงานความเสี่ยงใหม่ของเราก่อนเวลาสักหน่อย"
คุณสามารถอ่านรายละเอียดทั้งหมดได้ที่โพสต์ของ Martinez Yahoo จะปรับปรุงกระบวนการรายงานทำงานเพื่อตรวจสอบความถูกต้องของรายงานโดยเร็วที่สุดและทำงานหนักขึ้นเพื่อแก้ไขปัญหาตามเวลาที่กำหนด การรายงานข้อผิดพลาดที่ได้รับการตรวจสอบแล้วจะได้รับการติดต่อ "ภายในไม่เกินสิบสี่วันหลังจากการส่ง (แต่โดยทั่วไปเร็วกว่า)" และจะได้รับการยอมรับอย่างเป็นทางการจาก Yahoo "สำหรับปัญหาที่ได้รับการรายงานที่ดีที่สุดเราจะโทรออกโดยตรงจากเว็บไซต์ของเราการมีส่วนร่วมของแต่ละบุคคลใน 'Hall of Fame'
นอกจากนี้ไม่มีเสื้อยืดหรือพวงหรีดเป็นรางวัลอีก "Yahoo จะให้รางวัลแก่บุคคลและ บริษัท ที่ระบุสิ่งที่เราจัดว่าเป็นประเด็นความเสี่ยงใหม่ไม่ซ้ำใครและ / หรือความเสี่ยงสูงระหว่าง $ 150 - $ 15, 000" สำหรับขนาดของเงินรางวัลนั้น "จะถูกกำหนดโดยระบบที่ชัดเจนตามชุดขององค์ประกอบที่กำหนดซึ่งจับความรุนแรงของปัญหา" นโยบายนี้จะมีผลภายในสิ้นเดือนตุลาคมและจะมีผลย้อนหลังไปถึง 1 กรกฎาคม 2013 "แน่นอนรวมถึงการตรวจสอบนักวิจัยที่สะพานไฮเทคที่ไม่ชอบเสื้อยืดของฉัน" quipped Martinez .
การปรับปรุงที่ชัดเจน
“ เราไม่ได้ทำการวิจัยเพื่อหาเงินอย่างที่เราพูดกับ Yahoo อย่างชัดเจนในขณะที่รายงานช่องโหว่” Ilia Kolochenko CEO ของ High-Tech Bridge กล่าว "อย่างไรก็ตามเราดีใจที่ Yahoo ได้เปิดตัวโปรแกรม Bug Bounty ใหม่ซึ่งจะช่วยให้ความสัมพันธ์กับนักวิจัยด้านความปลอดภัยของพวกเขาดีขึ้นและช่วยพวกเขาในการปรับปรุงความปลอดภัยขององค์กร
ความจริงยังคงมีอยู่ว่าผู้เล่นรายใหญ่รายอื่นจ่ายเงินรางวัลบั๊กที่ใหญ่กว่ามาก Microsoft ยื่นออกมาเป็นเวลานาน แต่เมื่อต้นปีนี้ได้สร้างเงินรางวัลสูงถึง $ 100, 000 Facebook ได้จ่ายเงินมากกว่าหนึ่งล้านดอลลาร์เพื่อรับรางวัลข้อบกพร่องและ Google ได้รายงานว่าจ่ายเงินมากกว่าสองล้านครั้ง ในทางกลับกันรางวัลของ Apple สำหรับผู้ที่พบข้อบกพร่องที่สำคัญคือชื่อเสียงไม่มีอะไรเพิ่มเติม แผนใหม่ของ Yahoo อยู่ตรงกลาง เราจะดูว่ามันทำงานอย่างไรสำหรับพวกเขา
