ياهو عار في رفع مكافأة صغيرة يرثى لها

منذ يومين ، أبلغ باحثون من شركة الأمن السويسرية High-Tech Bridge عن تجربة بسيطة. لقد أمضوا يومًا في تمشيط مواقع Yahoo مكتوبة بحثًا عن الأخطاء ، وعثروا على ثلاثة مواقع خطيرة ، وقدموها إلى Yahoo ، بغرض تقييم برنامج مكافآت الأخطاء للشركة. ثوابهم؟ 12.50 دولارًا لكل علة ، يمكن استردادها فقط من متجر شركة Yahoo. من المخزي على الأرجح أن الاهتمام الموجه إلى هذه المكافأة الصغيرة يرثى لها ، رفعت ياهو مكافأة الأخطاء. اعتمادًا على شدة المشكلة المبلغ عنها ، سيتلقى الباحثون الآن من 150 دولارًا إلى 15000 دولارًا للتقرير. ونعم ، هذا نقدًا ، وليس القمصان.

شكر شخصي

في منشور مدونة folksy كتبه رمسيس مارتينيز ، والذي تم تحديده على أنه "مدير ياهو بجنون العظمة" ، شرح تاريخ برنامج مكافأة الأخطاء ، واتجاهه الجديد. وقال مارتينيز: "لقد بدأت في إرسال قميصًا بمثابة" شكر شخصي ". "لقد اشتريت القمصان بأموالي الخاصة." في وقت لاحق ، نظرًا لأن بعض مقدمي الطلبات تلقوا بالفعل قميصًا ، "لقد بدأت في شراء شهادة هدية حتى يتمكنوا من الحصول على هدية أخرى من اختيارهم."

يلاحظ مارتينيز أن الشيء الرئيسي الذي يحتاجه الكثير من الباحثين في مقابل الإبلاغ عن خطأ هو "خطاب يمكنهم إظهار رئيسهم أو عميلهم". كانت القمصان وشهادات الهدايا مجرد شكر شخصي على القمة. بالنسبة للإثبات الفعلي ، "أنا أكتب هذه الرسائل بنفسي".

سياسة الإبلاغ الجديدة

في منشور مارتينيز ، أدركت Yahoo بالفعل أن سياسة مكافأة الأخطاء تحتاج إلى ترقية. وقال "الفريق الأمني ​​وضع اللمسات الأخيرة على البرنامج المعدل." "بدلاً من الانتظار لفترة أطول ، قررنا معاينة سياسة الإبلاغ عن الثغرات الجديدة لدينا مبكرًا."

يمكنك قراءة التفاصيل الكاملة في منشور مارتينيز. ستعمل Yahoo على تبسيط عملية إعداد التقارير ، والعمل على التحقق من صحة التقارير في أسرع وقت ممكن ، والعمل بجد أكبر لمعالجة المشكلات في الوقت المناسب. سيتم الاتصال بالخبراء الذين تم التحقق من صحتهم "خلال ما لا يزيد عن أربعة عشر يومًا من تاريخ الإرسال (ولكن عادةً ما يكون ذلك أسرع)" وسيحصلون على اعتراف رسمي من Yahoo. "بالنسبة إلى أفضل المشكلات التي تم الإبلاغ عنها ، سنتصل مباشرةً من موقعنا بمشاركة الفرد في" قاعة الشهرة "."

أيضا ، لا مزيد من القمصان أو غنيمة كمكافآت. "ستكافئ Yahoo مكتوب الآن الأفراد والشركات التي تحدد ما نصنفه على أنه مشكلات جديدة وفريدة و / أو عالية المخاطر تتراوح بين 150 دولارًا و 15000 دولار أمريكي." أما بالنسبة لحجم المكافأة ، فسيتم تحديد ذلك "من خلال نظام واضح يعتمد على مجموعة من العناصر المحددة التي تحدد شدة المشكلة." ستصبح هذه السياسة نافذة المفعول بحلول نهاية شهر أكتوبر وستصبح بأثر رجعي حتى 1 يوليو 2013. "هذا يشمل ، بالطبع ، فحص للباحثين في High-Tech Bridge الذين لم يعجبوا قميصي".

تحسن واضح

"لم نقم بإجراء أبحاثنا مقابل المال ، كما قلنا بوضوح لـ Yahoo أثناء الإبلاغ عن نقاط الضعف" ، هذا ما أشار إليه المدير التنفيذي لشركة High-Tech Bridge Ilia Kolochenko. "ومع ذلك ، يسرنا أن Yahoo تقدم الآن برنامج Bug Bounty الجديد الذي سيسهل علاقاتهم مع الباحثين في مجال الأمن ومساعدتهم على تحسين أمنهم في الشركات. هذه أخبار سارة بالتأكيد".

تبقى الحقيقة ، مع ذلك ، أن اللاعبين الرئيسيين الآخرين يدفعون مكافآت أكبر بكثير. صمدت مايكروسوفت لفترة طويلة ، ولكن في وقت سابق من هذا العام أنشأت مكافأة تصل إلى 100،000 دولار. دفع Facebook أكثر من مليون دولار من مكافآت الأخطاء ، وورد أن Google دفعت أكثر من مليوني دولار. على الجانب الآخر ، فإن مكافأة أبل لأولئك الذين يجدون أخطاء كبيرة هي الشهرة ، لا شيء أكثر من ذلك. ياهو خطة جديدة تقع في مكان ما في الوسط. سنرى كيف يعمل لهم.