Vídeo: Mundo Bita - Insetos (Outubro 2024)
Alguns dias atrás, pesquisadores da empresa de segurança suíça High-Tech Bridge relataram um experimento simples. Eles passaram um dia vasculhando os sites do Yahoo em busca de bugs, encontraram três sites sérios e os enviaram ao Yahoo, com o objetivo de avaliar o programa de recompensas por bugs da empresa. A recompensa deles? US $ 12, 50 por bug, resgatáveis apenas na loja da empresa do Yahoo. Possivelmente envergonhado pela atenção destinada a essa recompensa lamentável, o Yahoo aumentou a recompensa por insetos. Dependendo da gravidade do problema relatado, os pesquisadores agora receberão de US $ 150 a US $ 15.000 por um relatório. E sim, isso é em dinheiro, não em camisetas.
Um agradecimento pessoal
Em um post popular de blog de Ramses Martinez, identificado como "Diretor, Yahoo Paranoids", explicou a história do programa de recompensas por bugs e sua nova direção. "Comecei a enviar uma camiseta como agradecimento pessoal", disse Martinez. "Eu até comprei as camisas com meu próprio dinheiro." Mais tarde, porque alguns remetentes já haviam recebido uma camiseta, "comecei a comprar um certificado de presente para que eles pudessem receber outro presente de sua escolha".
Martinez observa que a principal coisa que muitos pesquisadores precisam em troca de relatar um bug é "uma carta que eles poderiam mostrar ao chefe ou ao cliente". As camisetas e os certificados de presente eram apenas agradecimentos pessoais. Quanto à prova real, "eu mesmo escrevo essas cartas".
Nova política de relatórios
Segundo o post de Martinez, o Yahoo já havia percebido que a política de recompensas por bugs precisava de uma atualização. "A equipe de segurança estava dando os retoques finais no programa revisado", disse ele. "Em vez de esperar mais, decidimos visualizar nossa nova política de relatórios de vulnerabilidades um pouco mais cedo".
Você pode ler todos os detalhes no post de Martinez. O Yahoo simplificará o processo de geração de relatórios, trabalhará para validar os relatórios o mais rápido possível e trabalhará ainda mais para resolver os problemas em tempo hábil. Aqueles que reportarem bugs verificados serão contatados "dentro de catorze dias após o envio (mas geralmente muito mais rápido)" e receberão reconhecimento formal do Yahoo. "Para os melhores problemas relatados, chamaremos diretamente de nosso site a contribuição de um indivíduo em um 'hall da fama'".
Além disso, não há mais camisetas ou ganhos como recompensa. "O Yahoo agora recompensará indivíduos e empresas que identificarem o que classificamos como questões novas, únicas e / ou de alto risco entre US $ 150 e US $ 15.000". Quanto ao tamanho da recompensa, isso "será determinado por um sistema claro, com base em um conjunto de elementos definidos que capturam a gravidade do problema". Essa política entrará em vigor até o final de outubro e será retroativa para 1º de julho de 2013. "Isso inclui, é claro, uma verificação para os pesquisadores da High-Tech Bridge que não gostaram da minha camiseta", brincou Martinez.
Uma melhoria definitiva
"Não estávamos fazendo nossa pesquisa por dinheiro, como dissemos claramente ao Yahoo enquanto relatamos as vulnerabilidades", observou Ilia Kolochenko, CEO da High-Tech Bridge. "No entanto, estamos felizes que o Yahoo esteja introduzindo um novo Programa de Recompensas de Bugs que facilitará suas relações com pesquisadores de segurança e os ajudará a melhorar sua segurança corporativa. Essas são definitivamente boas notícias".
Porém, permanece o fato de que outros grandes players pagam recompensas muito maiores. A Microsoft resistiu por muito tempo, mas no início deste ano instituiu uma recompensa de até US $ 100.000. O Facebook pagou mais de um milhão de dólares em recompensas por insetos e o Google pagou mais de dois milhões. Por outro lado, a recompensa da Apple para quem encontra bugs significativos é a fama, nada mais. O novo plano do Yahoo fica em algum lugar no meio; vamos ver como funciona para eles.
