Yahoo abandonne les récompenses de t-shirts pour les informations de vulnérabilité

Yahoo cessera de donner des T-shirts en récompense pour avoir découvert des failles de sécurité après avoir fait honte au public qu'il appelle "porte-t-shirt". La société a été critiquée par la société de sécurité suisse High-Tech Bridge après avoir trouvé quatre vulnérabilités graves dans le réseau de Yahoo , qui ont tous été corrigés. Trois de ces problèmes - des failles de script intersites - auraient pu permettre à un attaquant de pirater le compte de messagerie Yahoo d'une personne.

À partir du 31 octobre, Yahoo paiera des récompenses allant de 150 $ US à 15 000 $ US pour les vulnérabilités, à condition que ces failles soient nouvelles, uniques ou à haut risque. Il prévoit de récompenser rétroactivement les chercheurs qui ont informé la société des problèmes remontant au 1er juillet, a écrit Ramses Martinez, directeur de l'équipe de sécurité de Yahoo, dans un blog mercredi..

"Cela comprend, bien sûr, un chèque pour les chercheurs de High-Tech Bridge qui n'ont pas aimé mon t-shirt", a écrit Martinez..

High-Tech Bridge a publié un communiqué de presse lundi disant que Yahoo offrait 12,50 $ de crédit par vulnérabilité, qui pourraient être utilisés pour des articles de marque Yahoo tels que des t-shirts, des tasses et des stylos de son magasin.

En conséquence, High-Tech Bridge a déclaré qu'il suspendrait ses recherches sur le réseau de Yahoo. La société a écrit que la récompense de Yahoo était "une mauvaise blague".

Le PDG de High-Tech Bridge Ilia Kolochenko a déclaré par e-mail qu'il ne cherchait pas de récompense financière pour les découvertes de son entreprise, mais il est heureux que Yahoo améliore la communication avec les chercheurs en sécurité.

"C'est un bon signe", a-t-il écrit.

De nombreuses grandes entreprises telles que Google et Facebook offrent des primes lucratives pour les informations de vulnérabilité. Google paiera jusqu'à 20 000 $ pour une vulnérabilité éligible, et Facebook paie un minimum de 500 $.

Il est moins coûteux pour les entreprises de payer pour les informations sur la vulnérabilité plutôt que d'embaucher des chercheurs à temps plein. Cela aide également à dissuader les chercheurs de se tourner vers des forums de piratage pour monétiser leurs informations, où elles pourraient être utilisées pour nuire..

Yahoo n'a jamais eu de processus officiel pour reconnaître les chercheurs en sécurité. Martinez a écrit qu'il a commencé à envoyer des T-shirts aux chercheurs pour remercier.

"J'ai même acheté les chemises avec mon propre argent", écrit-il.

Mais Yahoo avait récemment décidé d'améliorer son programme de rapport de vulnérabilité. Alors que Yahoo a agi rapidement sur les informations de vulnérabilité qu'il a reçues, "mon idée" envoyer un t-shirt "avait besoin d'une mise à niveau", a écrit Martinez..

"Ce mois-ci, l'équipe de sécurité mettait la touche finale au programme révisé", écrit-il. "Et puis hier matin, le t-shirt-gate a frappé. Ma boîte de réception était pleine de courriels en colère de personnes à l'intérieur et à l'extérieur de Yahoo. Comment oserais-je envoyer juste un t-shirt aux gens en guise de remerciement?"

Yahoo prévoit également d'améliorer sa page Web où les chercheurs peuvent envoyer des problèmes de sécurité. Les chercheurs seront contactés dans les deux semaines, a écrit Martinez. Ceux qui soumettent avec succès des défauts valides peuvent également recevoir un e-mail ou une lettre écrite qui peut être utilisé comme référence pour leur travail.

"Pour les meilleurs problèmes signalés, nous appellerons directement de notre site la contribution d'un individu dans un 'hall of fame'", a-t-il écrit.

Envoyez des conseils et des commentaires sur les nouvelles à [email protected] Suivez-moi sur Twitter: @jeremy_kirk

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.