Vídeo: REFLEXION MIRALO CUANDO ESTES TRISTE (Novembro 2024)
Pesquisadores de segurança especializados em testes de penetração passam seus dias (e noites) tentando quebrar os sistemas de segurança. Se eles encontrarem uma falha de segurança em um produto antes dos bandidos, isso dará tempo ao fabricante do produto para enviar um patch. O que há para o pesquisador? Talvez uma recompensa de bug de US $ 100.000, se o problema estava em um produto da Microsoft. Pesquisadores da High-Tech Bridge, uma empresa de serviços de segurança e testes de penetração, relatam que o Yahoo também oferece uma recompensa por insetos. O primeiro repórter de um bug de segurança verificável recebe US $ 12, 50, resgatáveis apenas na loja da empresa do Yahoo por "camisetas corporativas, copos, canetas e outros acessórios". Sério, o Yahoo?
Rachado rapidamente
A página Segurança no Yahoo informa sobre as medidas de segurança já adotadas pela empresa, juntamente com uma coleção de dicas. Indivíduos que pensam que suas contas foram invadidas ou comprometidas podem entrar em contato com o Yahoo nesta página para obter ajuda. Ele também declara: "Se você é membro da comunidade de segurança e precisa relatar uma vulnerabilidade técnica, entre em contato com: [email protected]".
Para avaliar o sistema Bug Bounty, os pesquisadores da High-Tech Bridge sentaram-se e começaram a procurar brechas de segurança nos sites do Yahoo. Eles encontraram um imediatamente, mas ele já havia sido relatado. Ao longo de mais alguns dias, eles encontraram mais três vulnerabilidades de script entre sites, todas novas. (Isso não é um pouco alarmante por si só?) Segundo o relatório, "Cada uma das vulnerabilidades descobertas permitiu que qualquer conta de e-mail @ yahoo.com fosse comprometida simplesmente enviando um link especialmente criado para um usuário do Yahoo conectado". Depois que o usuário clica nesse link, o jogo termina.
Os próprios pesquisadores do Yahoo verificaram que essas vulnerabilidades realmente existiam (elas foram corrigidas desde então). Eles ofereceram à equipe de pesquisa um sincero obrigado e um prêmio de US $ 12, 50 por bug, resgatável na loja da empresa. Os pesquisadores não ficaram impressionados; o relatório declara: "Nesse ponto, decidimos adiar novas pesquisas".
Recompensas maiores
A Microsoft pagará uma recompensa de US $ 100.000 por alguns relatórios. O Facebook pagou mais de um milhão de dólares. A Apple não paga recompensas por insetos, mas recompensa a "divulgação responsável" com fama. Para mim, a política de fama da Apple sem dinheiro parece melhor do que conceder trocas de idiotas.
"O Yahoo provavelmente deve revisar suas relações com pesquisadores de segurança", comentou Ilia Kolochenko, CEO da High-Tech Bridge. "Pagar vários dólares por vulnerabilidade é uma piada de mau gosto e não motivará as pessoas a denunciar vulnerabilidades de segurança, especialmente quando essas vulnerabilidades podem ser facilmente vendidas no mercado negro por um preço muito mais alto". Ele conclui que, se o Yahoo não gastar mais em segurança corporativa, "nenhum cliente do Yahoo poderá se sentir seguro".
Outras empresas exigiram que a cutucada percebesse que recompensas por insetos compensam muito. Alguns anos atrás, o Facebook estava oferecendo apenas US $ 500. Mais recentemente, um pesquisador, negado pelo Facebook, demonstrou sua descoberta postando no mural de Mark Zuckerberg. Brian Martin, presidente da Open Security Foundation, observou que "mesmo a Microsoft, que foi a mais notória defensora de programas de recompensas por bugs, percebeu o valor e saltou à frente dos demais, oferecendo até US $ 100.000". Ele continuou dizendo: "Algumas dessas empresas pagam aos zeladores mais dinheiro para limpar seus escritórios do que os pesquisadores de segurança que encontram vulnerabilidades que podem colocar milhares de clientes em risco".
Eu tenho que concordar. Se os fornecedores não pagarão pelas descobertas dos pesquisadores de segurança, certamente haverá outros que pagarão. Não queremos que esses pesquisadores inteligentes se voltem para o Lado Negro para alimentar seus filhos.