Yahoo платит по $12.50 за XSS-уязвимость

    image

    Существует общеизвестная практика, когда крупные компании платят специалистам по информационной безопасности специальное вознаграждение за найденные баги — так, к примеру, поступают Google, Facebook, Mozilla и прочие.

    Некая компания High Tech Bridge (CEO зовут Ilia Kolochenko) решила проверить на прочность сайты Yahoo, которая в списке выше не успела обозначиться, по крайней мере, публично. Примерно за 45 минут только с помощью Firefox была обнаружена первая XSS-уязвимость, о которой тут же было сообщено в Yahoo. Там, однако, решили, что информация не может быть оценена по достоинству, потому как в компании о ней уже известно.

    На этом немного странном ответе в High Tech Bridge не успокоились и продолжили поиски. За пару дней работы в Yahoo Security Team отправились ещё три баг-репорта о XSS-уязвимостях (включая домены ecom.yahoo.com и adserver.yahoo.com), на которые наконец поступил ответ, что на этот раз вопрос о вознаграждении решён положительно и за каждую обнаруженную проблему Yahoo готов заплатить по $12.50.

    При этом, вознаграждение будет выплачено (при желании, конечно) в виде скидочного купона Yahoo Company Store, где и можно приобрести на указанную сумму корпоративную символику, бейсболки, ручки, футболки и прочее подобное.

    Минимальная цена Facebook за найденную уязвимость составляет $500.

    [Источник]
    Метки:
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 49
    • +19
      Вы разве не знаете кто у них CEO?
      • 0
        Наверно, мой детектор сарказма не сработал, но нет, не знаю.
        Если что, то указал как зовут CEO, чтобы дать понять, что он наш соотечественник.
        • +7
          Тут видимо имелся ввиду CEO yahoo.
          • +4
            Может имелся ввидy CEO Yahoo?
          • +9
            А что не так с Майер?
            • НЛО прилетело и опубликовало эту надпись здесь
              • +17
                Ведьма! На костёр её!
                • +11
                  Пошел искать как она смеется — и действительно =)
                  Marissa Mayer - laugh compilation

                  • +8
                    Смех в реверсе будто
                    • 0
                      Нормальный у нее смех, просмотрите нормальные видео а не «это»
                  • +1
                    У нее телефон незапаролен.
                • 0
                  Странная цена за нахождение уязвимости при том, что некоторые из них могут принести ущерб во много раз больший.
                  • +10
                    Цена? Больше на издёвку похоже, лучше уж вообще ничего не платили, типа «спасибо, друзья, но заплатить не можем, политика не позволяет»
                    • 0
                      Вопрос в том, что ПОКА не принес. Трудно объяснить акционерам, что было потрачено ХХХХХ $ на выплаты по найденным уязвимостям. Вот когда взломают и нужно будет заплатить ХХХХХХХ $ для ликвидации этого — все понятно и логично (шутка).
                    • 0
                      У Yahoo! финансовые трудности который год подряд. Не хватает деньжат, видимо.
                      • +13
                        За 2012 финансовый год они заработали без малого 4 млрд долларов чистой прибыли. Хотел бы я себе такие финансовые трудности :).
                        • 0
                          Сначала надо уволить столько-же сотрудников (-:
                          • 0
                            Дохода, а не чистой прибыли.
                            techcrunch.com/2013/01/28/yahoo-q4-2013/
                              • 0
                                Income — это доход. Прибыль там — Gross Profit кажется.
                                • 0
                                  Вот и вот. Net income это как раз та самая «чистая прибыль».
                                  • 0
                                    Что тогда значит profit на этой картинке?

                                    tctechcrunch2011.files.wordpress.com/2013/01/yahoo-q412a.png?w=640&h=310
                                    • +1
                                      Скорее всего EBITDA.
                                      • +5
                                        Воу, воу, полегче с выражениями.
                                        • 0
                                          В Википедии тоже речь о доходе в 4 млрд.:
                                          ru.wikipedia.org/wiki/Yahoo!
                                          • 0
                                            По этой же ссылке всё понятно расписано:
                                            Оборот ▼ $4,984 млрд (2011, US GAAP)
                                            Чистая прибыль ▼ $1,049 млрд (2011)

                                            Оборот, в данном контексте = Выручка (доход) от (всей) деятельности.
                                            Прибыль, всё же, лярд с небольшим, но не 4…
                                            • 0
                                              В русском варианте статьи данные по 2011 году, в то время как в английском варианте данные за 2012 год, где чистая прибыль была существенно выше предыдущих показателей за счет продажи активов.

                                              Опять же, пройдите пройдите по ссылке и посмотрите в Annual Data всю доступную информацию, с таблицами и графиками: в 2011 году Net Income (чистая прибыль) действительно составила 1.048 млрд долларов, а в 2012 уже 3.945 млрд.
                                              • 0
                                                Да, Вы правы — рост и выручки и дохода в 12м году практически в 3 раза выше чем в 11м…
                                                Неслабый рост. :)
                              • +1
                                Видно, что основную часть прибыли в 2012 г. составила продажа активов

                                Gain (Loss) on Sale of Assets — $4,603.32 mln.

                                Операционная прибыль по сравнению с 2011 даже упала $566 млн. против $800 млн.

                            • 0
                              Интересно откуда цифра 12,50?
                              • 0
                                видимо цена на корпоративную символику в виде футболки :)
                                • 0
                                  Нет, я вполне серьёзно спросил. Неужели у них выделяется определённый бюджет на ИБ. Они что вычислили среднее между количеством страниц и бюджетом? Смешно просто.
                                  • +2
                                    Вариант 1. Просто посчитали. Например, узнали сколько платит тот же Facebook и уменьшили награду в той же пропорции, в какой популярность Яху меньше популярности Фейсбука ;)

                                    Варант 2. Это стратегическое решение. Специально выбрали смешную цену, чтобы не привлекать ещё больше хакеров к своему сервису. Чинить, наверное, всё равно не собираются, значит чем меньше людей ищут, тем лучше.

                                    • +1
                                      Или прикинули, какой ущерб будет нанесен компании, если уязвимость начнут эксплуатировать (до того момента, как проблему обнаружат) и он оказался равен 12.50$
                              • +9
                                Ага, или пойти продать уязвимость в 1000 раз дороже на черном рынке
                                • +2
                                  А, ради интереса, вы случайно не знаете где эти уязвимости продаются? Это какие-то форумы специализированные или как этот рынок организован?
                                  • +8
                                    1337day.com одна из известных мировых. банальную xss можно и на античате продать. более серьезные баги можно продать создателям связок, либо софта для ботнетов (zeus, carberp и т.д). На приват форумах в основном торгуют.
                              • +1
                                Yahoo буржуи… Даже как то не видно смысла время тратить на поиски ошибок на такие гроши…
                                • +4
                                  Хм, что то компания Яххху торговалась до последнего… прямо как «Изя на Привозе». Поражаюсь жлобству и тупости.
                                • +1
                                  Для полного издевательства нужно было $12.99 предложить выплатить.
                                  • +1
                                    Видимо, Yahoo сознательно занизило стоимость найденной уязвимости, зная сколько их у них там всего.
                                    • +3
                                      Минимальная цена Facebook за найденную уязвимость составляет $500.

                                      А реальная цена — ответ «Я сожалею, но это не ошибка».
                                      • 0
                                        Мне показалась данная тема провокационная, мол Яху плохие и мало платят: Почему они должны заплатить больше 12 баксов? Никто ничего не обещал же. Ни контракта, ни публичной оферты.

                                        А еще меня всегда радует: «А вон ФейсБук заплатил нам за -то же самое 500 долларов, а вы нет!». Ну идите и ищите у фейсбука! Кто вас заставлял тратить 45 минут, вставляя во все формочки ? Вы сами же проявили инициативу, за что вам «Спасибо» в виде символики компании! По-моему это хорошо.

                                        • +1
                                          Да, вы правы, футболка Yahoo — это чертовски круто!)
                                          • 0
                                            Да дело не в награде ж) Можно просто «стену славы» сделать) В конечном счете ради чего люди шлют баги вендору? Ради награды? ИМХО, вся эта телега затеяна с целью PR никому не понятной фирмы High Tech Bridge, которая, о подвиг, нашла XSS в Яху… и решила раздуть «шум», на фоне «отношения к безопасности», что, конечно, никак не связанно, но некоторые деятели ИБ (все, на самом деле, просто в разных плоскостях и уровнях) всегда будут заниматься «этим» ПР-гоневом 8)
                                            • 0
                                              ИМХО, вся эта телега затеяна с целью PR никому не понятной фирмы High Tech Bridge, которая, о подвиг, нашла XSS
                                              — вполне возможно :)

                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.