Рубрика «bounty»

Пару дней назад по Сети разнеслась история из блога компании High Tech Bridge, в которой рассказывалось о том как Yahoo мотивирует экспертов по безопасности сообщать о найденных уязвимостях. Речь шла о том, что в ответ на сообщения о имеющихся XSS на ряде поддоменов yahoo.com, специалисты, нашедшие проблемы, получили вознаграждение в виде купонов на приобретение футболок и ручек в фирменном магазине компании на сумму $12.50.

В ответ на это Рамзес Мартинес (Ramses Martinez), директор подразделения Yahoo Paranoids (так в компании называется команда инженеров, отвечающая за информационную безопасность) в своём посте объяснил почему в его компании так скромно реагируют на достаточно ценную информацию, и что отныне подход к её оценке будет серьёзно пересмотрен в сторону увеличения финансового вознаграждения.
Читать полностью »

image

Существует общеизвестная практика, когда крупные компании платят специалистам по информационной безопасности специальное вознаграждение за найденные баги — так, к примеру, поступают Google, Facebook, Mozilla и прочие.

Некая компания High Tech Bridge (CEO зовут Ilia Kolochenko) решила проверить на прочность сайты Yahoo, которая в списке выше не успела обозначиться, по крайней мере, публично. Примерно за 45 минут только с помощью Firefox была обнаружена первая XSS-уязвимость, о которой тут же было сообщено в Yahoo. Там, однако, решили, что информация не может быть оценена по достоинству, потому как в компании о ней уже известно.
Читать полностью »