비디오: † W Ì § † È Ð (십월 2024)
침투 테스트를 전문으로하는 보안 연구원들은 보안 시스템을 깰 수있는 낮과 밤을 보냅니다. 악의적 인 사용자가 제품에 보안 취약점을 발견하면 제품 제조업체가 패치를 배포 할 시간을줍니다. 연구원에게는 무엇이 들어 있습니까? 문제가 Microsoft 제품에있을 경우 $ 100, 000 버그 현상 금일 수 있습니다. 보안 서비스 및 침투 테스트 회사 인 하이테크 브리지 (High-Tech Bridge)의 연구원들은 야후도 버그 현상금을 제공한다고보고했다. 확인 가능한 보안 버그의 첫 번째보고자는 "회사 티셔츠, 컵, 펜 및 기타 액세서리"로 Yahoo 회사의 상점에서만 사용할 수있는 $ 12.50입니다. 정말 야후?
금이 간
Yahoo의 보안 웹 페이지에는 회사에서 이미 수행 한 보안 단계와 팁 모음이보고되어 있습니다. 자신의 계정이 해킹 또는 도용되었다고 생각하는 사람은이 페이지에서 Yahoo에 연락하여 도움을 요청할 수 있습니다. 또한 "보안 커뮤니티의 구성원이고 기술적 인 취약점을보고해야하는 경우 [email protected]으로 문의하십시오."라고 말합니다.
버그 바운티 시스템을 평가하기 위해 하이테크 브리지 연구원들은 야후 웹 사이트에서 보안 허점을 찾기 시작했습니다. 그들은 즉시 발견했지만 이미보고 된 바 있습니다. 다른 며칠 동안 그들은 새로운 사이트 간 스크립팅 취약점 3 개를 발견했습니다. 보고서에 따르면 "발견 된 각 취약점으로 인해 로그인 한 Yahoo 사용자에게 특수하게 조작 된 링크를 보내면 @ yahoo.com 전자 메일 계정이 손상 될 수 있습니다." 사용자가 해당 링크를 클릭하면 게임이 끝난 것입니다.
야후의 자체 연구자들은 이러한 취약점이 실제로 존재 함을 확인했다 (그 이후로 수정되었다). 그들은 리서치 팀에게 진심으로 감사하며 회사 매장에서 상환 할 수있는 버그 당 $ 12.50의 상을 제공했습니다. 연구원들은 깊은 인상을 받았습니다. 보고서는 "이 시점에서 우리는 추가 연구를 중단하기로 결정했다."
더 큰 바운티
Microsoft는 일부 보고서에 대해 10 만 달러의 현상금을 지불합니다. 페이스 북은 백만 달러 이상을 지불했다. Apple은 버그 바운티를 지불하지 않지만 명성을 가진 "책임있는 공개"에 대해 보상합니다. 나에게있어, 애플의 현금없는 정당성 정책은 change 프 변경을 수여하는 것보다 낫습니다.
High-Tech Bridge의 CEO 인 Ilia Kolochenko는“Yahoo는 아마도 보안 연구원들과의 관계를 수정해야 할 것입니다. "취약점 당 몇 달러를 지불하는 것은 나쁜 농담이며 사람들이 특히 보안 취약점을 암시장에서 훨씬 더 높은 가격으로 쉽게 팔 수있을 때 보안 취약점을보고하도록 동기를 부여하지 않습니다." 그는 야후가 기업 보안에 더 이상 투자하지 않으면 "아무도 야후 고객 중 누구도 안전하다고 느낄 수 없다"고 결론 지었다.
다른 회사들은 버그 바운티가 큰 돈을 지불한다는 것을 깨닫기 위해 prodding을 요구했습니다. 몇 년 전 페이스 북은 500 달러에 불과했다. 보다 최근에는 페이스 북의 현상금을 거부 한 한 연구원이 마크 주커 버그의 벽에 글을 게시하여 그의 발견을 시연했다. 오픈 보안 재단의 브라이언 마틴 (Brian Martin) 회장은 "버그 바운티 프로그램에서 가장 악명 높은 마이크로 소프트조차도 그 가치를 깨닫고 나머지를 뛰어 넘어 최대 10 만 달러를 제공했다"고 지적했다. "이러한 회사 중 일부는 보안 연구원들이 수천 명의 고객을 위험에 빠뜨릴 수있는 취약점을 발견하는 것보다 사무실 청소에 더 많은 비용을 지불했습니다."
동의해야합니다. 벤더가 보안 연구원의 발견에 대해 비용을 지불하지 않으면 분명히 다른 사람이있을 것입니다. 우리는 그 영리한 연구원들이 아이들에게 먹이를주기 위해 다크 사이드로 돌아가는 것을 원하지 않습니다.
