Відео: HUGE EGGS Surprise Toys Challenge with Inflatable water slide (Вересень 2024)
Дослідники з безпеки, які спеціалізуються на тестуванні на проникнення, проводять свої дні (і ночі), намагаючись зламати системи безпеки. Якщо вони знайдуть дірку в безпеці в продукті до того, як зроблять погані хлопці, це дає виробнику продукту час виштовхувати виправлення. Що в ньому для дослідника? Можливо, $ 100 000 помилок, якщо проблема була в продукті Microsoft. Дослідники компанії High-Tech Bridge, служб безпеки та фірми з тестування проникнення, повідомляють, що Yahoo також пропонує виправлення помилок. Перший репортер перевіреної помилки із захистом отримує … 12, 50 доларів США, їх можна придбати лише в магазині компанії Yahoo за "корпоративні футболки, чашки, ручки та інші аксесуари". Дійсно, Yahoo?
Швидко трісне
Веб-сторінка безпеки в Yahoo повідомляє про заходи безпеки, вже зроблені компанією, а також колекцію порад. Особи, які вважають, що їхні акаунти були зламані чи зламані, можуть звернутися до Yahoo із цієї сторінки за допомогою. У ньому також зазначено: "Якщо ви є членом спільноти безпеки і вам потрібно повідомити про технічну вразливість, зверніться за адресою: [email protected]".
Щоб оцінити систему Bug Bounty, дослідники High-Tech Bridge сіли і почали шукати дірки в безпеці на веб-сайтах Yahoo. Вони знайшли його одразу, але про це вже повідомлялося. Протягом ще декількох днів вони знайшли ще три вразливості сценаріїв між сайтами, все нові. (Це не є трохи тривожним саме по собі?) Згідно з повідомленням, "Кожна з виявлених вразливих місць дозволила порушити будь-який обліковий запис електронної пошти @ yahoo.com, просто надіславши спеціально створене посилання користувачеві Yahoo, який увійшов в систему". Як тільки користувач натискає на це посилання, це гра закінчена.
Власні дослідники Yahoo підтвердили, що ці вразливості дійсно існували (вони з тих пір були виправлені). Вони запропонували дослідницькій команді щиру подяку та нагороду в розмірі 12, 50 долара за помилку, яку можна викупити в магазині компанії. Дослідники не були вражені; у звіті зазначається: "На цьому етапі ми вирішили зупинити подальше дослідження".
Більші Bounties
Microsoft виплатить суму в розмірі 100 000 доларів США за деякі звіти. Facebook виплатив понад мільйон доларів. Apple не виплачує прихильності помилок, але славою нагороджує "відповідальне розкриття". Для мене політика Apple безготівкової справедливої слави здається кращою, ніж присудження змін.
"Yahoo, мабуть, повинен переглянути свої відносини з дослідниками безпеки", - прокоментував Ілля Колоченко, генеральний директор компанії High Tech Tech. "Платити кілька доларів за вразливість - це поганий жарт і не спонукає людей повідомляти про вразливості безпеки, особливо коли такі вразливості можна легко продати на чорному ринку за значно вищу ціну". Він робить висновок, що якщо Yahoo не витрачає більше коштів на корпоративну безпеку, "жоден з клієнтів Yahoo ніколи не може почувати себе в безпеці".
Інші компанії вимагають продавати, щоб зрозуміти, що відлякування помилок окупається великим часом. Кілька років тому Facebook пропонував всього 500 доларів. Зовсім недавно один дослідник, який відмовив у нагороді у Facebook, продемонстрував своє відкриття, розмістивши на стіні Марка Цукерберга. Брайан Мартін, президент Фонду відкритої безпеки, відзначив, що «Навіть Microsoft, який був найвідомішим утриманням програм з виправлення помилок, усвідомив цінність і вискочив перед іншими, пропонуючи до 100 000 доларів». Він продовжував говорити: "Деякі з цих компаній платять своїм двірникам більше грошей за прибирання своїх офісів, ніж вони роблять дослідники з безпеки, які знаходять уразливі місця, що можуть піддавати небезпеці тисячі своїх клієнтів".
Я повинен погодитися. Якщо продавці не заплатять за відкриття дослідниками безпеки, то, безумовно, знайдуться й інші. Ми не хочемо, щоб ті розумні дослідники зверталися до Темної сторони, щоб годувати своїх дітей.
