Компания Yahoo больше не будет давать футболки в награду за поиск уязвимостей после публичного позора, который она уже успела назвать «Врата футболок».
Не последнюю роль в этом сыграла швейцарская компания High-Tech Bridge. Дело в том, что ее специалисты обнаружили три XSS-уязвимости, которые злоумышленники могли использовать для взлома любого аккаунта @yahoo.com, и оповестили о них сотрудников Yahoo. За каждую найденную уязвимость американская компания предложила швейцарцам по 12,5 долларов в виде сертификата, за который в фирменных магазинах Yahoo можно купить футболки, кружки, носки, ручки и прочие мелочи с логотипом компании.
IT-специалисты из High-Tech Bridge посчитали, что их работа стоит намного дороже, и назвали подобную награду «плохой шуткой».
Для сравнения: Google платит за обнаружение уязвимостей от 100 до 20.000 долларов, а Facebook – минимум 500. Оказывается, компаниям выгоднее платить энтузиастам со стороны, чем создавать вакансии специалистов по поиску уязвимостей и брать их на полный рабочий день. Кроме того, как показала практика, большинство тех, кто обнаруживает баги, предпочитает получить свою законную награду, а не пытается продать информацию о проблемах безопасности на черном рынке.
С 31 октября Yahoo начнет выплачивать денежные вознаграждения в размере от $ 150 до $ 15 000. Как утверждает Рамзес Мартинес, директор по безопасности Yahoo, люди, обнаружившие уязвимости в системе безопасности компании позже 1 июля 2013 г. также получат свои деньги, пускай и задним числом.
«Сюда же, конечно, относится и чек для исследователей из High-Tech Bridge, которым не нравятся подаренные мной футболки», – написал Мартинес в своем блоге.
Yahoo ранее никогда не награждала «охотников за багами» деньгами. Мартинес посылал им фирменные футболки, чтобы выразить благодарность, причем во многих случаях они были куплены на личные средства главного «безопасника» компании.
«В этом месяце мы уже намечали пересмотр системы награждения. И вот вчера утром случились «Врата футболок». Мой почтовый ящик был полон гневных писем как от наших сотрудников, так и от посторонних людей. [Они спрашивали], как же я смею отправлять только футболки в качестве благодарности?» – написал Рамзес в своем блоге и добавил: «Очевидно, идея отправки футболок нуждается в обновлении».
И вот обновление свершилось: компания Yahoo, как и другие гиганты индустрии IT, пришла к идее денежных вознаграждений.