Yahoo dejará de regalar camisetas como recompensa por encontrar vulnerabilidades de seguridad después de que un público avergonzara que llamaba "puerta de la camiseta". La compañía recibió una paliza de la empresa de seguridad suiza High-Tech Bridge después de encontrar cuatro vulnerabilidades graves en la red de Yahoo , todo lo cual ahora se ha solucionado. Tres de esos problemas, defectos de secuencias de comandos entre sitios, podrían haber permitido que un atacante secuestrara la cuenta de correo electrónico de Yahoo de una persona.
A partir del 31 de octubre, Yahoo pagará recompensas que van desde US $ 150 a $ 15,000 por vulnerabilidades, siempre que esas fallas sean nuevas, únicas o de alto riesgo. Planea recompensar retroactivamente a los investigadores que notificaron a la compañía sobre problemas que se remontan al 1 de julio, escribió Ramses Martínez, director del equipo de seguridad de Yahoo, en una publicación de blog el miércoles..
"Esto incluye, por supuesto, un cheque para los investigadores de High-Tech Bridge a quienes no les gustó mi camiseta", escribió Martínez..
High-Tech Bridge emitió un comunicado de prensa el lunes diciendo que Yahoo ofreció $ 12.50 en crédito por vulnerabilidad, que podría usarse para artículos de la marca Yahoo como camisetas, tazas y bolígrafos de su tienda.
Como resultado, High-Tech Bridge dijo que esperaría más investigación en la red de Yahoo. La compañía escribió que la recompensa de Yahoo era "una mala broma".
La directora ejecutiva de High-Tech Bridge, Ilia Kolochenko, dijo por correo electrónico que no estaba buscando una recompensa financiera por los hallazgos de su empresa, pero que está contento de que Yahoo esté mejorando la comunicación con los investigadores de seguridad..
"Es una buena señal", escribió.
Muchas grandes empresas como Google y Facebook ofrecen recompensas lucrativas por la información de vulnerabilidad. Google pagará hasta $ 20,000 por una vulnerabilidad que califique, y Facebook paga un mínimo de $ 500.
Es más barato para las compañías pagar por información de vulnerabilidad en lugar de contratar investigadores a tiempo completo. También ayuda a disuadir a los investigadores de recurrir a foros de piratería para monetizar su información, donde podría usarse para hacer daño.
Yahoo nunca tuvo un proceso formal para reconocer a los investigadores de seguridad. Martínez escribió que comenzó a enviar camisetas a los investigadores para expresar su agradecimiento..
"Incluso compré las camisas con mi propio dinero", escribió..
Pero Yahoo había decidido recientemente mejorar su programa de informes de vulnerabilidad. Si bien Yahoo actuó rápidamente sobre la información de vulnerabilidad que recibió, "mi idea de 'enviar una camiseta' necesitaba una actualización", escribió Martínez.
"Este mes, el equipo de seguridad estaba dando los últimos toques al programa revisado", escribió. "Y luego, ayer por la mañana, golpeó 'la puerta de la camiseta'. Mi bandeja de entrada estaba llena de correos electrónicos enojados de personas dentro y fuera de Yahoo. ¿Cómo me atrevo a enviar solo una camiseta a la gente como agradecimiento?"
Yahoo también planea mejorar su página web donde los investigadores pueden enviar problemas de seguridad. Los investigadores serán contactados dentro de dos semanas, escribió Martínez. Aquellos que presenten fallas válidas con éxito también pueden recibir un correo electrónico o una carta escrita que se puede utilizar como referencia para su trabajo..
"Para los problemas mejor informados, llamaremos directamente desde nuestro sitio la contribución de un individuo en un 'salón de la fama'", escribió.
Envíe sugerencias de noticias y comentarios a [email protected] Sígueme en Twitter: @jeremy_kirk
Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.
