야후는 아주 작은 버그 현상금을 제기로 수치

며칠 전에 스위스 보안 회사 인 하이테크 브리지 (High-Tech Bridge)의 연구원들은 간단한 실험에 대해보고했습니다. 그들은 하루 동안 Yahoo의 웹 사이트를 버그로 빗나가고, 심각한 버그를 발견하여 회사의 버그 바운티 프로그램을 평가할 목적으로 Yahoo에 제출했습니다. 그들의 보상? 버그 당 $ 12.50, Yahoo 회사 매장에서만 사용 가능 야후는이 작은 보상을 목표로 한 관심에 부끄러워서 버그 현상금을 제기했습니다. 보고 된 문제의 심각성에 따라, 연구원들은 이제보고를 위해 $ 150에서 $ 15, 000를받을 것입니다. 그리고 그렇습니다. 티셔츠가 아니라 현금입니다.

개인적인 감사

Ramses Martinez의 민속 블로그 게시물에서 "Yahoo Paranoids 디렉터"로 알려진 버그 바운티 프로그램의 역사와 새로운 방향에 대해 설명했습니다. 마르티네즈는 "개인적인 감사로 티셔츠를 보내기 시작했다"고 말했다. "나는 심지어 내 돈으로 셔츠를 샀다." 나중에 일부 제출자가 이미 티셔츠를 받았기 때문에 "상품권 구매를 시작하여 다른 선물을받을 수있게되었습니다."

마르티네즈는 버그를보고하는 대가로 많은 연구원들이 필요로하는 가장 중요한 것은 "상사 나 의뢰인에게 보여줄 수있는 편지"라고 지적했다. 티셔츠와 상품권은 그저 개인적으로 감사했습니다. 실제적인 증거에 관해서는, "나는이 편지들을 직접 씁니다."

새로운보고 정책

Martinez의 게시물에 따르면 Yahoo는 이미 버그 현상금 정책을 업그레이드해야한다는 사실을 깨달았습니다. "보안 팀은 수정 된 프로그램에 마무리 작업을하고 있었다"고 그는 말했다. "더 이상 기다리지 않고 새로운 취약점보고 정책을 조금 일찍 미리보기로 결정했습니다."

Martinez의 게시물에서 자세한 내용을 읽을 수 있습니다. 야후는보고 프로세스를 능률화하고, 가능한 빨리 보고서를 검증하고, 문제를 적시에 해결하기 위해 더욱 노력할 것입니다. 확인 된 버그보고는 "제출 후 14 일 이내에 (그러나 일반적으로 훨씬 빠름)"연락을 받고 Yahoo로부터 공식적인 승인을받습니다. "최고의보고 된 문제를 위해, 우리는 사이트에서 '명예의 전당'에 대한 개인의 기여를 직접 불러 낼 것입니다."

또한 더 이상 티셔츠 나 장식물을 보상으로 사용할 수 없습니다. "Yahoo는 이제 우리가 $ 150-$ 15, 000 사이의 새롭고 독특하고 /하거나 높은 위험 문제로 분류 한 것을 식별하는 개인과 회사에 보상 할 것입니다." 현상금의 규모는 "문제의 심각성을 파악하는 정의 된 요소 집합을 기반으로 명확한 시스템에 의해 결정됩니다." 이 정책은 10 월 말까지 시행되며 2013 년 7 월 1 일까지 소급 적용됩니다. "물론 티셔츠를 좋아하지 않는 High-Tech Bridge의 연구원에 대한 확인도 포함됩니다.".

확실한 개선

하이테크 브리지 CEO 일리아 콜로 첸코 (Ilia Kolochenko)는“취약점을보고하면서 야후에 분명히 말했듯이, 우리는 돈을 연구하지 않았다. "하지만 야후는 ​​보안 연구원과의 관계를 촉진하고 기업 보안을 개선하는 데 도움이되는 새로운 버그 바운티 프로그램을 도입하게 된 것을 기쁘게 생각합니다. 정말 좋은 소식입니다."

그러나 다른 주요 플레이어가 훨씬 큰 버그 바운티를 지불한다는 사실은 여전히 ​​남아 있습니다. 마이크로 소프트는 오랫동안 발표했지만 올해 초 최대 10 만 달러의 현상금을 내놓았다. 페이스 북은 버그 바운티로 백만 달러 이상을 지불했으며 구글은 200 만 달러를 지불 한 것으로 알려졌다. 반대로, 중대한 버그를 발견 한 사람들에 대한 Apple의 보상은 명성입니다. 야후의 새로운 계획은 중간에있다. 우리는 그것이 어떻게 작동하는지 볼 것입니다.