ياهو تقدم مكافأة علة حزينة: 12.50 دولار في غنيمة الشركة

يقضي باحثو الأمن المتخصصون في اختبار الاختراق أيامهم (ولياليهم) في محاولة لكسر أنظمة الأمن. إذا وجدوا فجوة أمان في أحد المنتجات قبل أن يفعل الأشرار ، فإن ذلك يمنح صانع المنتج وقتًا لإخراج التصحيح. ما في ذلك للباحث؟ ربما مكافأة 100000 دولار ، إذا كانت المشكلة في منتج Microsoft. أفاد باحثون في شركة High-Tech Bridge ، وهي إحدى شركات خدمات الأمن واختبار الاختراق ، بأن Yahoo مكتوب تقدم مكافأة إضافية. يحصل المراسل الأول لثغرة أمنية يمكن التحقق منها على… $ 12.50 ، يمكن استردادها فقط في متجر شركة Yahoo مقابل "قمصان الشركات والأكواب والأقلام وغيرها من الملحقات". حقا ، ياهو؟

متصدع بسرعة

تقدم صفحة الأمان على Yahoo مكتوب تقارير عن الخطوات الأمنية التي اتخذتها الشركة بالفعل ، إلى جانب مجموعة من النصائح. يمكن للأفراد الذين يعتقدون أن حساباتهم قد تم اختراقها أو اختراقها الاتصال بـ Yahoo من هذه الصفحة للحصول على المساعدة. وينص أيضًا على "إذا كنت عضوًا في مجتمع الأمان وتحتاج إلى الإبلاغ عن مشكلة عدم حصانة فنية ، فاتصل بـ: [email protected]."

لتقييم نظام Bug Bounty ، جلس باحثو High-Tech Bridge وبدأوا في البحث عن ثغرات أمنية في مواقع Yahoo. وجدوا واحدة على الفور ، ولكن تم الإبلاغ بالفعل. على مدار يومين آخرين ، وجدوا ثلاث نقاط ضعف في البرمجة النصية عبر المواقع ، كلها جديدة. (أليس هذا مزعجًا في حد ذاته؟) وفقًا للتقرير ، "سمح كل من الثغرات المكتشفة بالتعرض لأي حساب بريد إلكتروني على @ yahoo.com ببساطة عن طريق إرسال رابط مصمم خصيصًا لمستخدم Yahoo مسجّل الدخول." بمجرد أن ينقر المستخدم على هذا الرابط ، تنتهي اللعبة.

تحقق باحثو Yahoo من أن هذه الثغرات موجودة بالفعل (لقد تم إصلاحها منذ ذلك الحين). لقد قدموا لفريق البحث الشكر الجزيل ، ومنحة قدرها 12.50 دولارًا لكل علة ، يمكن استردادها من متجر الشركة. كان الباحثون غير متأثرين. يذكر التقرير ، "في هذه المرحلة قررنا التراجع عن إجراء مزيد من البحوث."

أكبر المكافآت

ستدفع Microsoft مكافأة قدرها 100،000 دولار لبعض التقارير. لقد دفع Facebook أكثر من مليون دولار. لا تدفع Apple مكافآت الأخطاء ، ولكنها تكافئ "الكشف المسؤول" بالشهرة. بالنسبة لي ، تبدو سياسة الشهرة العادلة للأموال التي تتبعها شركة أبل أفضل من منح تغيير التغيير.

علق إيليا كولوشينكو ، الرئيس التنفيذي لشركة High-Tech Bridge قائلاً: "ربما يتعين على Yahoo مكتوب مراجعة علاقاتها مع باحثي الأمن". "إن دفع عدة دولارات لكل نقطة ضعف هو مزحة سيئة ولن يحفز الناس على الإبلاغ عن نقاط الضعف الأمنية لهم ، لا سيما عندما يمكن بيع هذه الثغرات الأمنية بسهولة في السوق السوداء مقابل سعر أعلى بكثير." ويخلص إلى أنه إذا لم تنفق Yahoo مكتوبًا أكثر على أمن الشركات ، "فلن يشعر أي من عملاء Yahoo بالأمان أبدًا".

طلبت شركات أخرى من الحث أن تدرك أن مكافآت الأخطاء تؤتي ثمارها. قبل بضع سنوات ، كان موقع Facebook يقدم 500 دولار فقط. وفي الآونة الأخيرة ، أظهر باحث ، أنكره على Facebook مكافأة ، اكتشافه من خلال نشره على جدار مارك زوكربيرج. وأشار برايان مارتن ، رئيس مؤسسة الأمن المفتوح ، إلى أن "حتى مايكروسوفت ، التي كانت صاحبة السمعة الشديدة في برامج المكافآت التي حصلت على أخطاء ، أدركت القيمة وتقدمت على البقية ، وتقدم ما يصل إلى 100000 دولار". وتابع قائلاً: "بعض هذه الشركات تدفع لأصحابها أموالاً أكثر لتنظيف مكاتبهم ، بدلاً من قيام الباحثين الأمنيين بالعثور على نقاط ضعف قد تعرض الآلاف من عملائها للخطر".

علي ان اوافق. إذا كان البائعون لن يدفعوا مقابل اكتشافات الباحثين في مجال الأمن ، فهناك بالتأكيد آخرون سيفعلون ذلك. لا نريد أن يتحول هؤلاء الباحثون الأذكياء إلى الجانب المظلم من أجل إطعام أطفالهم.