Video: Yahoo! Bug Bounty. Curl argument injection Yahoo small business (September 2024)
Säkerhetsforskare som specialiserat sig på penetrationstester tillbringar sina dagar (och nätter) med att försöka bryta säkerhetssystem. Om de hittar ett säkerhetshål i en produkt innan de onda gör det, ger det produktens tillverkare tid att pressa ut en lapp. Vad finns det för forskaren? Kanske en 100.000 $ buggprisen om problemet var i en Microsoft-produkt. Forskare vid High-Tech Bridge, ett företag för säkerhetstjänster och penetrationstester, rapporterar att Yahoo också erbjuder en bountybounty. Den första reportern för ett verifierbart säkerhetsfel får… $ 12, 50, kan endast lösas in i Yahoos företagshandel för "företagst-skjortor, koppar, pennor och andra tillbehör." Verkligen Yahoo?
Knäckt snabbt
Webbsidan Security at Yahoo rapporterar om säkerhetssteg som redan har gjorts av företaget, tillsammans med en samling tips. Personer som tror att deras konton har hackats eller komprometterats kan kontakta Yahoo från denna sida för hjälp. Det står också "Om du är medlem i säkerhetsgemenskapen och behöver rapportera en teknisk sårbarhet, kontakta: [email protected]."
För att utvärdera Bug Bounty-systemet satte High-Tech Bridge forskare sig och började leta efter säkerhetshål på Yahoos webbplatser. De hittade en direkt, men det hade redan rapporterats. Under ytterligare ett par dagar hittade de ytterligare tre sårbarheter på skript över hela webbplatsen, alla nya. (Är det inte lite alarmerande i sig?) Enligt rapporten "Var och en av de upptäckta sårbarheterna tillät att något @ yahoo.com e-postkonto komprometterades helt enkelt genom att skicka en speciellt utformad länk till en inloggad Yahoo-användare." När användaren klickar på länken är spelet över.
Yahoos egna forskare verifierade att dessa sårbarheter verkligen fanns (de har sedan fixats). De erbjöd forskarteamet ett varmt tack och en utmärkelsen på $ 12, 50 per bugg, som kan lösas in i företagets butik. Forskarna var inte imponerade; rapporten säger, "Vid denna tidpunkt beslutade vi att fortsätta med ytterligare forskning."
Större belöningar
Microsoft betalar 100 000 dollar för några rapporter. Facebook har betalat ut över en miljon dollar. Apple betalar inte felavtal, men belönar "ansvarsfullt avslöjande" med berömmelse. För mig verkar Apples riktiga berömmelse utan kontanter vara bättre än att ge chump-förändring.
"Yahoo borde förmodligen revidera sina förbindelser med säkerhetsforskare, " kommenterade Ilia Kolochenko, VD för High-Tech Bridge. "Att betala flera dollar per sårbarhet är ett dåligt skämt och kommer inte att motivera människor att rapportera säkerhetsproblem till dem, särskilt när sådana sårbarheter lätt kan säljas på den svarta marknaden till ett mycket högre pris." Han drar slutsatsen att om Yahoo inte spenderar mer på företagssäkerhet, "kan ingen av Yahoos kunder någonsin känna sig säkra."
Andra företag har krävt att anlita för att inse att buggardon betalar sig stort. För några år sedan erbjöd Facebook bara $ 500. På senare tid visade en forskare, som förnekades en vinst av Facebook, hans upptäckt genom att lägga upp på Mark Zuckerbergs vägg. Brian Martin, ordförande för Open Security Foundation, konstaterade att "Till och med Microsoft, som var det mest beryktade uthållet på bounty-program, insåg värdet och hoppade framför resten och erbjuder upp till 100 000 $." Han fortsatte med att säga, "Vissa av dessa företag betalar sina vaktmästare mer pengar för att städa sina kontor, än de gör säkerhetsforskare som finner sårbarheter som kan leda till tusentals av sina kunder i riskzonen."
Jag måste hålla med. Om leverantörer inte betalar för upptäckter av säkerhetsforskare, är det säkert andra som kommer att göra det. Vi vill inte att de smarta forskarna vänder sig till Dark Side för att mata sina barn.
