Yahoo forlater T-skjorten belønning for sårbarhetsinformasjon

Yahoo vil slutte å gi T-skjorter som en belønning for å finne sikkerhetssårbarheter etter at en offentlig skammet at den kalte "t-shirt gate." Selskapet fikk en drubbing fra det sveitsiske sikkerhetsselskapet High-Tech Bridge etter at det fant fire alvorlige sårbarheter i Yahoos nettverk , som alle nå er fikset. Tre av disse problemene - feil på tvers av nettstedet - kunne ha tillatt en angriper å kapre en persons Yahoo-e-postkonto.

Fra 31. oktober betaler Yahoo belønninger fra 150 til 15 000 dollar for sårbarheter, forutsatt at feilene er nye, unike eller høye. Den planlegger å retroaktivt belønne forskere som varslet selskapet om problemer som går tilbake til 1. juli, skrev Ramses Martinez, direktør for Yahoos sikkerhetsteam, i et blogginnlegg onsdag.

"Dette inkluderer selvfølgelig en sjekk for forskerne ved High-Tech Bridge som ikke likte t-skjorten min," skrev Martinez.

High-Tech Bridge sendte mandag ut en pressemelding om at Yahoo tilbød 12,50 dollar i kreditt per sårbarhet, som kan brukes mot varer fra Yahoo-merkevarer som T-skjorter, kopper og penner fra butikken.

Som et resultat sa High-Tech Bridge at den ville fortsette å gjøre mer research på Yahoos nettverk. Selskapet skrev at Yahoos belønning var "en dårlig vits."

Høyteknologisk Bridge-sjef Ilia Kolochenko sa via e-post at han ikke søker en økonomisk belønning for selskapets funn, men han er glad Yahoo forbedrer kommunikasjonen med sikkerhetsforskere.

"Det er et godt tegn," skrev han

Mange store selskaper som Google og Facebook tilbyr lukrative beløp for sårbarhetsinformasjon. Google vil betale inntil 20 000 dollar for en kvalifisert sårbarhet, og Facebook betaler minimum 500 dollar.

Det er billigere for selskaper å betale for sårbarhetsinformasjon i stedet for å ansette forskere på heltid. Det hjelper også å hindre forskere i å vende seg til hackeforum for å tjene penger på informasjonen deres, der den kan brukes til å skade.

Yahoo hadde aldri en formell prosess for å anerkjenne sikkerhetsforskere. Martinez skrev at han begynte å sende T-skjorter til forskere for å uttrykke takk.

"Jeg kjøpte til og med skjortene med mine egne penger," skrev han.

Men Yahoo hadde nylig bestemt seg for å forbedre sitt sårbarhetsrapporteringsprogram. Mens Yahoo handlet raskt etter sårbarhetsinformasjonen den mottok, trengte "min" send en t-skjorte "-idee en oppgradering," skrev Martinez.

"Denne måneden la sikkerhetsteamet siste hånd på det reviderte programmet," skrev han. "Og så i går morges 't-shirt-gate' hit. Innboksen min var full av sint e-post fra folk inne og ute av Yahoo. Hvordan tør jeg sende bare en t-skjorte til folk som takk?"

Yahoo planlegger også å forbedre sin webside hvor forskere kan sende inn sikkerhetsproblemer. Forskere vil bli kontaktet i løpet av to uker, skrev Martinez. De som lykkes med gyldige feil kan også få en e-post eller et skriftlig brev enn det som kan brukes som referanse for arbeidet sitt.

"For de best rapporterte problemene, vil vi direkte kalle fra vår side individets bidrag i en 'hall of fame'," skrev han.

Send nyhetstips og kommentarer til [email protected] Følg meg på Twitter: @jeremy_kirk

Bli med i Network World-samfunnene på Facebook og LinkedIn for å kommentere temaer som er uten oppmerksomhet.