Video: GHOSTEMANE - AI (OFFICIAL VIDEO) (Noviembre 2024)
Hace un par de días, investigadores de la firma de seguridad suiza High-Tech Bridge informaron sobre un experimento simple. Pasaron un día revisando los sitios web de Yahoo en busca de errores, encontraron tres serios y los enviaron a Yahoo, con el fin de evaluar el programa de recompensas de errores de la compañía. Su recompensa? $ 12.50 por error, canjeable solo en la tienda de la compañía de Yahoo. Posiblemente avergonzado por la atención dirigida a esta lamentablemente pequeña recompensa, Yahoo ha aumentado la recompensa por errores. Dependiendo de la gravedad del problema reportado, los investigadores ahora recibirán de $ 150 a $ 15, 000 por un informe. Y sí, eso es en efectivo, no en camisetas.
Un agradecimiento personal
En una publicación de blog popular de Ramses Martinez, identificado como "Director, Yahoo Paranoids", explicó la historia del programa de recompensas de errores y su nueva dirección. "Comencé a enviar una camiseta como un 'gracias' personal", dijo Martínez. "Incluso compré las camisas con mi propio dinero". Más tarde, debido a que algunos participantes ya habían recibido una camiseta, "comencé a comprar un certificado de regalo para que pudieran obtener otro regalo de su elección".
Martínez señala que lo principal que necesitan muchos investigadores a cambio de informar un error es "una carta que podrían mostrar a su jefe o cliente". Las camisetas y los certificados de regalo fueron solo un agradecimiento personal en la parte superior. En cuanto a la prueba real, "yo mismo escribo estas cartas".
Nueva política de informes
Según la publicación de Martínez, Yahoo ya se había dado cuenta de que la política de recompensa por errores necesitaba una actualización. "El equipo de seguridad estaba dando los últimos toques al programa revisado", dijo. "En lugar de esperar más, hemos decidido previsualizar nuestra nueva política de informes de vulnerabilidad un poco antes".
Puedes leer todos los detalles en la publicación de Martínez. Yahoo simplificará el proceso de presentación de informes, trabajará para validar los informes lo antes posible y trabajará aún más duro para abordar los problemas de manera oportuna. Aquellos que reporten errores verificados serán contactados "en no más de catorce días después del envío (pero generalmente mucho más rápido)" y recibirán un reconocimiento formal de Yahoo. "Para los problemas mejor informados, llamaremos directamente desde nuestro sitio la contribución de un individuo en un 'salón de la fama'".
Además, no más camisetas o botín como recompensa. "Yahoo ahora recompensará a las personas y empresas que identifiquen lo que clasificamos como problemas nuevos, únicos y / o de alto riesgo entre $ 150 - $ 15, 000". En cuanto al tamaño de la recompensa, eso "estará determinado por un sistema claro basado en un conjunto de elementos definidos que capturen la gravedad del problema". Esta política entrará en vigencia a fines de octubre y será retroactiva al 1 de julio de 2013. "Esto incluye, por supuesto, un cheque para los investigadores de High-Tech Bridge a quienes no les gustó mi camiseta", bromeó Martínez..
Una mejora definitiva
"No estábamos investigando por dinero, como le dijimos claramente a Yahoo al informar sobre las vulnerabilidades", señaló el CEO de High-Tech Bridge, Ilia Kolochenko. "Sin embargo, nos complace que Yahoo ahora esté presentando el nuevo Programa Bug Bounty que facilitará sus relaciones con los investigadores de seguridad y les ayudará a mejorar su seguridad corporativa. Esa es definitivamente una buena noticia".
Sin embargo, el hecho es que otros jugadores importantes pagan recompensas por errores mucho más grandes. Microsoft resistió durante mucho tiempo, pero a principios de este año instituyó una recompensa de hasta $ 100, 000. Facebook ha pagado más de un millón de dólares en recompensas por errores y, según los informes, Google ha pagado más de dos millones. Por otro lado, la recompensa de Apple para aquellos que encuentran errores importantes es la fama, nada más. El nuevo plan de Yahoo cae en algún punto intermedio; veremos cómo les funciona.
