Пару дней назад по Сети разнеслась история из блога компании High Tech Bridge, в которой рассказывалось о том как Yahoo мотивирует экспертов по безопасности сообщать о найденных уязвимостях. Речь шла о том, что в ответ на сообщения о имеющихся XSS на ряде поддоменов yahoo.com, специалисты, нашедшие проблемы, получили вознаграждение в виде купонов на приобретение футболок и ручек в фирменном магазине компании на сумму $12.50.
В ответ на это Рамзес Мартинес (Ramses Martinez), директор подразделения Yahoo Paranoids (так в компании называется команда инженеров, отвечающая за информационную безопасность) в своём посте объяснил почему в его компании так скромно реагируют на достаточно ценную информацию, и что отныне подход к её оценке будет серьёзно пересмотрен в сторону увеличения финансового вознаграждения.
Как объясняет Мартинез, в Yahoo не существует никакого формального действия, обязывающего каким-либо образом отблагодарить автора за обнаруженную проблему. Понимая, что простая отписка по email со словами вроде «Спасибо, информация принята к сведению» выглядит немного некрасиво, директор Paranoids стал рассылать футболки авторам уязвимостей как знак его персональной благодарности; мало того, Мартинес покупал их за свои деньги и когда выяснилось, что у некоторых уже по несколько футболок, то он принял логичное решение отправлять людям скидочные купоны, чтобы люди могли сами выбрать себе подарок по душе.
Другая форма признания заслуг заключалась в том, что Мартинес сам писал email тем авторам, которым требовалось признание факта наличия уязвимости одним из директоров Yahoo с тем, чтобы это письмо можно было показать либо своему боссу, либо клиентам как доказательство компетенции специалиста по ИБ.
В итоге Мартинес признаёт, что пару дней назад его email был переполнен гневными письмами (вероятно, речь идёт как раз об истории с $12.50), смысл которых заключался в том, что футболка — это недостойная плата за поиск уязвимости. И, таким образом, программа вознаграждения получила значительное обновление со стороны руководства компании. Отныне будет изменена система репортинга об ошибках, ещё более эффективно станет работать команда, которая должна на них реагировать и, самое главное, изменена величина денежных выплат авторам, нашедшим уязвимости — теперь эта сумма будет колебаться от $150 до $15 000 в зависимости от уровня сообщаемой проблемы.
Обновлённая политика безопасности вступает в силу с 31 октября этого года.
[Источник]
Автор: jeston