Ajándék holmikkal szúrta ki a hackerek szemét a Yahoo!

A Yahoo! eddig egy ajándék pólóval hálálta meg a kutatóknak azt, ha egy súlyos sérülékenységet első kézből jeleztek számára. Most végre a cég is ráébredt arra, hogy ennél többet érdemelnek az őt segítő biztonsági szakemberek.
 

A független biztonsági kutatók, etikus hackerek vállalatok általi jutalmazása nem ördögtől való gondolat. Jelenleg többek között a Mozilla, a Google és a Facebook is pénzdíjat ad azon szakemberek számára, akik sérülékenységeket tárnak fel a rendszereikben, alkalmazásaikban, és azokat közvetlenül, első kézből a fejlesztők tudomására hozzák. Ekkor az adott cég szakemberei elemzik az átadott információkat, és szükség esetén megteszik a védelmi intézkedéseket (elkészítik a hibajavításokat, kiadják a frissítéseket stb.), majd jutalmazzák a bejelentőt. A Google-nél a pénzdíj mértéke a legsúlyosabb biztonsági rések feltárása esetén elérheti a 20.000 dollárt. A jutalom a Facebooknál 500 dollárról indul, és a hiba által jelentett kockázatok függvényében növekszik. A Yahoo! esetében pedig ez idáig a honorárium egy póló volt.

Balhé kellett a fordulathoz

A svájci High-Tech Bridge az elmúlt időszakban négy darab, komoly veszélyt jelentő sebezhetőséget tárt fel a Yahoo! hálózatán, illetve rendszerein. E sérülékenységek közül három kihasználásával Yahoo! postafiókokhoz lehetett hozzáférést szerezni. A hibákról hamar beigazolódott, hogy azok valóban léteznek, és kockázatot jelentenek, majd a Yahoo! fejlesztői orvosolták is a problémákat. Kis idő elteltével a High-Tech Bridge a munkája elismeréséül sérülékenységenként egy-egy 12,5 dolláros kupont kapott a vállalattól, amelyet céges logóval ellátott pólókra, bögrékre, tollakra válthatott volna be. "Fel kellene függesztenünk a Yahoo! hálózataival kapcsolatos kutatásainkat. Ez egy rossz vicc!" - nyilatkozta a svájci biztonsági cég.

Miután az eset napvilágra került, a Yahoo! azonnal felülvizsgálta az eddigi gyakorlatát, és lépéseket tett. Már csak azért is, mert mint kiderült alapvetően eddig a vállalat semmilyen módon nem kívánta honorálni a biztonsági kutatók munkáját. Sok esetben Ramses Martinez, a Yahoo! biztonsági csoportjának vezetője a saját pénzén vett pólókat, amiket aztán elküldött a kutatóknak, hogy legalább jelképesen tudjon valamit adni elismerésül. Jó hír, hogy novembertől ez a helyzet megváltozik, ugyanis a vállalat illetékes vezetőit sikerült meggyőzni arról, hogy ennél többet érdemelnek az etikus hackerek.

Mi lesz ezután?

A Yahoo! jelenlegi tervei szerint a bejelentett és valóban létező sebezhetőségek után a kutatók minimum 150 dolláros jutalomban fognak részesülni, de ez az összeg a feltárt hiba súlyosságától függően akár 15.000 dollárra is felkúszhat. Sőt a cég annak lehetőségét sem zárta ki, hogy az idén júliustól mostanáig beérkezett hibabejelentéseket utólagosan honorálja. Ennek fényében pedig a pólókkal jól ellátott High-Tech Bridge szakemberei is megkaphatják a méltó elismerésüket.

A pénz nem minden

Martinez és most már a Yahoo! is pontosan tisztában van azzal, hogy a sebezhetőségek után kutakodó szakembereknek gyakran igazán nem is a pénz számít, és elsősorban nem a fizetség reményében dolgoznak. Gyakran sokkal inkább olyan elismerést várnak el, amelyet aztán a későbbiekben, például egy jobb munkahely reményében felmutathatnak. Ezért Martinez ígéretet tett arra, hogy a veszélyes biztonsági rések bejelentői e-mailben vagy postai úton egy nyilatkozatot fognak kapni, amit referenciaként használhatnak fel a karrierjük építéséhez.

A Yahoo! jelenleg a hibabejelentések fogadására alkalmas weboldalának megújításán dolgozik, hogy ezzel is hatékonyabbá tegye a sérülékenységi információk kezelését.