Yahoo přehodnotí systém odměn za nalezené chyby

Sdílet

 Autor: © Yahoo
Společnost Yahoo si vysloužila veřejnou ostudu tím, že za nalezené zranitelnosti ve své síti nabízela výzkumníkům pouze trička.

Švýcarská společnost High-Tech Bridge, která nalezla několik závažných (již opravených) chyb, které by mohly útočníkům umožnit i krádež e-mailových účtů, tuto odměnu nazvala špatným vtipem.

Yahoo začne odměny za nalezené chyby vyplácet 31. října. Částka, kterou výzkumníci dostanou, se bude pohybovat mezi 150 až 1 500 dolary a zaplaceno dostanou zpětně i ti, kteří chybu nahlásili od 1. července, napsal na blogu společnosti Ramses Martinez, ředitel bezpečnostního týmu společnosti Yahoo. „Samozřejmě to zahrnuje i šek pro výzkumníky z High-Tech Bridge, kterým se mé tričko nelíbilo,“ napsal.

Společnost High-Tech Bridge v pondělí vydala tiskovou zprávu, ve které uvedla, že za odhalení chyb dostali od Yahoo kupon do obchodu Yahoo v hodnotě 12,50 dolarů. Využít šel k nákupu propisek, hrnků či triček. Společnost ve zprávě uvedla, že další výzkum sítě Yahoo pozastaví a uvedla, že je odměna, kterou Yahoo nabízí „špatný vtip“.

Většina velkých společností jako Google nebo Facebook nabízí za nalezení chyb lukrativní odměny. Google platí až 20 000 dolarů a Facebook odměňuje nálezce zranitelných míst minimální částkou 500 dolarů.

Pro společnosti je levnější vyplácet tyto odměny, než platit výzkumníky, kteří by se hledáním chyb zabývali na plný úvazek. Také tím předcházejí šíření těchto citlivých informací na hackerských fórech, kde by výzkumníci mohli své znalosti také zpeněžit.

Společnost Yahoo nikdy neměla oficiální postup, jak výzkumníky odměnit. Martinez napsal, že trička posílal, aby vyjádřil své díky. „Dokonce jsem je koupil za své peníze,“ uvedl.

Společnost už se rozhodla před nějakým časem svůj program na hlášení chyb vylepšit. Yahoo na objevené zranitelnosti reagoval vždy rychle, ale „nápad posílat trička potřeboval vylepšit,“ napsal Martinez. „Náš bezpečnostní tým dokončuje upravený program celý měsíc,“ napsal. „A včera ráno přišel úder v podobě triček. Můj e-mail byl plný naštvaných zpráv, jak se opovažuji posílat jako vyjádření díků pouhé tričko.“

Yahoo plánuje vylepšit i webové stránky, přes které mohou výzkumníci chyby hlásit. „Budeme výzkumníky kontaktovat během dvou týdnů,“ uvedl Martinez.  Ti, kteří úspěšně nahlásí chybu, budou moci získat i referenci v podobě dopisu či e-mailu. „Lidé, kteří odhalí nejzávažnější chyby, se také dostanou do naší síně slávy,“ napsal Martinez.