Egymillió dollárt osztott szét a Yahoo! a fehérkalaposok között

A Yahoo! is nagyon felpörgette a biztonsági kutatók számára kialakított jutalmazási programját. Már több mint egymillió dollárt fizetett ki a lelkes hibavadászoknak.
 

A Yahoo! 2013 októberéig meglehetősen visszafogott módon üzemeltette azt a jutalmazási rendszerét, amelynek keretében a biztonsági hibák bejelentőit díjazta. Akkor még csak egy 12,5 dolláros utalványt kaphattak azok, akik első kézből jeleztek sebezhetőséget a vállalat illetékes munkatársainak. Aztán a cég is ráébredt arra, hogy ez így korántsem hatékony, és elkezdte emelni a tétet. Manapság a HackerOne-on keresztül 50-15.000 dolláros díjazás mellet várja a bejelentéseket, amelyekből akad is szép számmal.

Ramses Martinez, a Yahoo! biztonsági vezetője szerint a jutalmazási program elindítása óta összesen tízezer bejelentést kaptak 1800 kutatótól. Természetesen nem minden bejelentés ütötte meg azt a szintet, hogy pénzjutalom járjon érte: összesen 600 kutató kapott díját 1500 sérülékenység után. Viszont a jutalmak összértéke így is elérte az egymillió dollárt. Összehasonlításképpen érdemes megemlíteni, hogy a Facebook az elmúlt négy év során hasonló célokból hárommillió dollárral jutalmazta a sebezhetőségek feltáróit.

Nem a mennyiség számít

A száraz statisztikai adatok ismertetése után Martinez arra is kitért, hogy valójában nem az számít, hogy összességében hány kutató részesült anyagi elismerésben. Ennél sokkal fontosabb az, hogy egy olyan közösség alakuljon ki, amelyre lehet számítani a biztonsági hibák felismerésében. Ezért vezette be a vállalat azt a rendszert, amelyben a hibabejelentők pontokat kapnak az egyes jelentéseikért. Ezáltal nemcsak arról van információ, hogy ki, hány sebezhetőséget leplezett le, hanem arról is, hogy milyen veszélyességű, horderejű biztonsági rések merültek fel. Martinez szerint ennek köszönhetően akár maguk a kutatók is összehasonlításokat tudnak végezni, és némi versengés is kialakulhat a szakemberek között. Ez azért is fontos, mert sok kutató nem kizárólag a pénzdíj reményében végzi a munkáját, hanem próbára szeretné tenni a tudását, vagy egész egyszerűen hozzá akar járulni az internet biztonságosabbá tételéhez.