Существует общеизвестная практика, когда крупные компании платят специалистам по информационной безопасности специальное вознаграждение за найденные баги — так, к примеру, поступают Google, Facebook, Mozilla и прочие.
Некая компания High Tech Bridge (CEO зовут Ilia Kolochenko) решила проверить на прочность сайты Yahoo, которая в списке выше не успела обозначиться, по крайней мере, публично. Примерно за 45 минут только с помощью Firefox была обнаружена первая XSS-уязвимость, о которой тут же было сообщено в Yahoo. Там, однако, решили, что информация не может быть оценена по достоинству, потому как в компании о ней уже известно.
На этом немного странном ответе в High Tech Bridge не успокоились и продолжили поиски. За пару дней работы в Yahoo Security Team отправились ещё три баг-репорта о XSS-уязвимостях (включая домены ecom.yahoo.com и adserver.yahoo.com), на которые наконец поступил ответ, что на этот раз вопрос о вознаграждении решён положительно и за каждую обнаруженную проблему Yahoo готов заплатить по $12.50.
При этом, вознаграждение будет выплачено (при желании, конечно) в виде скидочного купона Yahoo Company Store, где и можно приобрести на указанную сумму корпоративную символику, бейсболки, ручки, футболки и прочее подобное.
Минимальная цена Facebook за найденную уязвимость составляет $500.
[Источник]
Автор: jeston