Рубрика «bounty»

На днях специалисты по кибербезопасности из Амстердамского свободного университета, заявили о том, что представители Intel просили команду учебного заведения приуменьшить значение обнаруженной уязвимости процессоров компании. Речь идет о проблеме RIDL (Rogue In-Flight Data Load), наличие которой Intel признала всего несколько дней назад.

Эта уязвимость входит в класс Microarchitectural Data Sampling (MDS), о котором на Хабре уже писали. Ее обнаружил студент университета Стефан ван Шайк (Stephan van Schaik). Вместе с ним проблему изучали и другие университеты и компании, но первым был именно ван Шайк в качестве представителя ВУЗа, так что лишь Амстердамский свободный университет может претендовать на Bounty-вознаграждение от Intel. Учебное заведение считается одним из ведущих ВУЗов страны и Европы.
Читать полностью »

Пару дней назад по Сети разнеслась история из блога компании High Tech Bridge, в которой рассказывалось о том как Yahoo мотивирует экспертов по безопасности сообщать о найденных уязвимостях. Речь шла о том, что в ответ на сообщения о имеющихся XSS на ряде поддоменов yahoo.com, специалисты, нашедшие проблемы, получили вознаграждение в виде купонов на приобретение футболок и ручек в фирменном магазине компании на сумму $12.50.

В ответ на это Рамзес Мартинес (Ramses Martinez), директор подразделения Yahoo Paranoids (так в компании называется команда инженеров, отвечающая за информационную безопасность) в своём посте объяснил почему в его компании так скромно реагируют на достаточно ценную информацию, и что отныне подход к её оценке будет серьёзно пересмотрен в сторону увеличения финансового вознаграждения.
Читать полностью »

image

Существует общеизвестная практика, когда крупные компании платят специалистам по информационной безопасности специальное вознаграждение за найденные баги — так, к примеру, поступают Google, Facebook, Mozilla и прочие.

Некая компания High Tech Bridge (CEO зовут Ilia Kolochenko) решила проверить на прочность сайты Yahoo, которая в списке выше не успела обозначиться, по крайней мере, публично. Примерно за 45 минут только с помощью Firefox была обнаружена первая XSS-уязвимость, о которой тут же было сообщено в Yahoo. Там, однако, решили, что информация не может быть оценена по достоинству, потому как в компании о ней уже известно.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js