Video: SHE GODS OF SHARK REEF // Full Adventure Movie // Bill Cord & Lisa Montell // HD // 720p (September 2024)
För ett par dagar sedan rapporterade forskare från det schweiziska säkerhetsföretaget High-Tech Bridge om ett enkelt experiment. De tillbringade en dag på att kombinera Yahoos webbplatser för buggar, fann tre allvarliga och skickade dem till Yahoo i syfte att utvärdera företagets buggountprogram. Deras belöning? 12, 50 dollar per bugg, som bara kan lösas in i Yahoos företagshandel. Yahoo har eventuellt skämts av uppmärksamheten riktad mot denna ynkligt lilla belöning. Beroende på svårighetsgraden av det rapporterade problemet kommer forskare nu att få mellan 150 och 15 000 dollar för en rapport. Och ja, det är kontant, inte t-shirts.
Ett personligt tack
I ett folksy blogginlägg av Ramses Martinez, identifierat som "Director, Yahoo Paranoids, " förklarade historien för buggountprogrammet och dess nya riktning. "Jag började skicka en t-shirt som ett personligt" tack ", säger Martinez. "Jag köpte till och med skjortorna med mina egna pengar." Senare, eftersom vissa anmälare redan hade fått en t-shirt, "började jag köpa ett presentkort så att de kunde få en annan gåva efter eget val."
Martinez konstaterar att det viktigaste som många forskare behöver i utbyte mot att rapportera ett fel är "ett brev de kunde visa sin chef eller klient." T-shirts och presentkort var bara ett personligt tack på toppen. När det gäller det faktiska beviset, "jag skriver dessa brev själv."
Ny rapporteringspolicy
Per Martinez inlägg, Yahoo hade redan insåg att bounty-principen behövde en uppgradering. "Säkerhetsteamet tog slutet på det reviderade programmet", sa han. "Istället för att vänta längre, har vi beslutat att förhandsgranska vår nya policy för sårbarhetsrapportering lite tidigt."
Du kan läsa hela informationen i Martinezs inlägg. Yahoo kommer att effektivisera rapporteringsprocessen, arbeta för att validera rapporter så snart som möjligt och arbeta ännu hårdare för att lösa problem i tid. De som rapporterar verifierade buggar kommer att kontaktas "inte mer än fjorton dagar efter inlämning (men vanligtvis mycket snabbare)" och kommer att få formellt erkännande från Yahoo. "För de bästa rapporterade frågorna kommer vi direkt att ringa ut från vår webbplats en individs bidrag i en" hall of fame."
Inga fler t-shirts eller swag som belöningar. "Yahoo kommer nu att belöna individer och företag som identifierar vad vi klassificerar som nya, unika och / eller högriskfrågor mellan $ 150 - $ 15 000." När det gäller storleken på bounty, kommer det "att bestämmas av ett tydligt system baserat på en uppsättning definierade element som fångar svårighetsgraden av problemet." Denna policy träder i kraft i slutet av oktober och kommer att vara retroaktiv till 1 juli 2013. "Detta inkluderar naturligtvis en check för forskarna på High-Tech Bridge som inte gillade min t-shirt, " frågade Martinez.
En bestämd förbättring
"Vi gjorde inte vår forskning för pengar, som vi tydligt sa till Yahoo när vi rapporterade sårbarheterna", konstaterade High-Tech Bridge, VD Ilia Kolochenko. "Vi är dock glada över att Yahoo nu introducerar ett nytt Bug Bounty-program som underlättar deras relationer med säkerhetsforskare och hjälper dem att förbättra deras företags säkerhet. Det är definitivt goda nyheter."
Faktum kvarstår dock att andra stora spelare betalar ut mycket större felavkastningar. Microsoft höll på länge men införde tidigare i år en vinst på upp till 100 000 dollar. Facebook har betalat över en miljon dollar i bounties, och Google har enligt uppgift betalat över två miljoner. På baksidan är Apples belöning till de som hittar betydande buggar berömmelse, ingenting mer. Yahoos nya plan faller någonstans i mitten; vi får se hur det fungerar för dem.
