Yahoo opgiver T-shirt-belønninger for oplysninger om sårbarhed

Yahoo vil stoppe med at give T-shirts som en belønning for at finde sikkerhedssårbarheder, efter at en offentlig shaming det kaldte "t-shirt gate." Virksomheden modtog en drubbing fra det schweiziske sikkerhedsfirma High-Tech Bridge, efter at det fandt fire alvorlige sårbarheder i Yahoos netværk , som alle nu er løst. Tre af disse problemer - scripting-fejl på tværs af websteder - kunne have tilladt en angriber at kapre en persons Yahoo-e-mail-konto.

Fra 31. oktober betaler Yahoo belønninger fra $ 150 til $ 15.000 for sårbarheder, forudsat at disse fejl er nye, unikke eller høje risici. Det planlægger at retroaktivt belønne forskere, der har anmeldt virksomheden om emner, der går tilbage til 1. juli, skrev Ramses Martinez, direktør for Yahoos sikkerhedsteam, i et blogindlæg onsdag.

"Dette inkluderer selvfølgelig en check til forskerne ved High-Tech Bridge, der ikke kunne lide min t-shirt," skrev Martinez.

High-Tech Bridge udsendte mandag en pressemeddelelse om, at Yahoo tilbød $ 12,50 i kredit pr. Sårbarhed, som kunne bruges mod Yahoo-mærkevarer som T-shirts, kopper og penne fra dens butik.

Som et resultat sagde High-Tech Bridge, at den ville holde på med at gøre mere research på Yahoos netværk. Virksomheden skrev, at Yahoos belønning var "en dårlig vittighed."

High-Tech Bridge CEO Ilia Kolochenko sagde via e-mail, at han ikke søger en økonomisk belønning for sit virksomheds fund, men han er glad for, at Yahoo forbedrer kommunikationen med sikkerhedsforskere.

”Det er et godt tegn,” skrev han

Mange store virksomheder som Google og Facebook tilbyder lukrative beløb for sårbarhedsoplysninger. Google betaler op til $ 20.000 for en kvalificeret sårbarhed, og Facebook betaler mindst $ 500.

Det er billigere for virksomheder at betale for sårbarhedsoplysninger snarere end at ansætte forskere på heltid. Det hjælper også med at afskrække forskere fra at henvende sig til hackingfora for at tjene penge på deres information, hvor det kan bruges til at skade.

Yahoo havde aldrig en formel proces til anerkendelse af sikkerhedsforskere. Martinez skrev, at han begyndte at sende T-shirts til forskere for at udtrykke tak.

”Jeg købte endda skjorterne med mine egne penge,” skrev han.

Men Yahoo havde for nylig besluttet at forbedre sit sårbarhedsrapporteringsprogram. Mens Yahoo handlede hurtigt på baggrund af sårbarhedsoplysningerne, den modtog, var "min" send en t-shirt "-idee behov for en opgradering," skrev Martinez.

"Denne måned var sikkerhedsteamet ved at afslutte det reviderede program," skrev han. "Og så i går morges 't-shirt-gate' hit. Min indbakke var fuld af vred e-mail fra folk inde og ude af Yahoo. Hvordan tør jeg bare sende en t-shirt til folk som tak?"

Yahoo planlægger også at forbedre sin webside, hvor forskere kan sende sikkerhedsspørgsmål. Forskere vil blive kontaktet inden for to uger, skrev Martinez. De, der med succes indsender gyldige mangler, kan også få en e-mail eller et skriftligt brev, end der kan bruges som reference til deres arbejde.

"For de bedst rapporterede problemer, vil vi direkte kalde fra vores websted et individs bidrag i en 'hall of fame'," skrev han.

Send nyhedstips og kommentarer til [email protected] Følg mig på Twitter: @jeremy_kirk

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.