Пользователь
0,0
рейтинг
1 октября 2013 в 22:15

Разработка → Yahoo платит по $12.50 за XSS-уязвимость

image

Существует общеизвестная практика, когда крупные компании платят специалистам по информационной безопасности специальное вознаграждение за найденные баги — так, к примеру, поступают Google, Facebook, Mozilla и прочие.

Некая компания High Tech Bridge (CEO зовут Ilia Kolochenko) решила проверить на прочность сайты Yahoo, которая в списке выше не успела обозначиться, по крайней мере, публично. Примерно за 45 минут только с помощью Firefox была обнаружена первая XSS-уязвимость, о которой тут же было сообщено в Yahoo. Там, однако, решили, что информация не может быть оценена по достоинству, потому как в компании о ней уже известно.

На этом немного странном ответе в High Tech Bridge не успокоились и продолжили поиски. За пару дней работы в Yahoo Security Team отправились ещё три баг-репорта о XSS-уязвимостях (включая домены ecom.yahoo.com и adserver.yahoo.com), на которые наконец поступил ответ, что на этот раз вопрос о вознаграждении решён положительно и за каждую обнаруженную проблему Yahoo готов заплатить по $12.50.

При этом, вознаграждение будет выплачено (при желании, конечно) в виде скидочного купона Yahoo Company Store, где и можно приобрести на указанную сумму корпоративную символику, бейсболки, ручки, футболки и прочее подобное.

Минимальная цена Facebook за найденную уязвимость составляет $500.

[Источник]
Евгений @jeston
карма
80,2
рейтинг 0,0
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (49)

  • +19
    Вы разве не знаете кто у них CEO?
    • 0
      Наверно, мой детектор сарказма не сработал, но нет, не знаю.
      Если что, то указал как зовут CEO, чтобы дать понять, что он наш соотечественник.
      • +7
        Тут видимо имелся ввиду CEO yahoo.
      • +4
        Может имелся ввидy CEO Yahoo?
    • +9
      А что не так с Майер?
      • НЛО прилетело и опубликовало эту надпись здесь
        • +17
          Ведьма! На костёр её!
        • +11
          Пошел искать как она смеется — и действительно =)
          Marissa Mayer - laugh compilation

          • +8
            Смех в реверсе будто
          • 0
            Нормальный у нее смех, просмотрите нормальные видео а не «это»
      • +1
        У нее телефон незапаролен.
  • 0
    Странная цена за нахождение уязвимости при том, что некоторые из них могут принести ущерб во много раз больший.
    • +10
      Цена? Больше на издёвку похоже, лучше уж вообще ничего не платили, типа «спасибо, друзья, но заплатить не можем, политика не позволяет»
    • 0
      Вопрос в том, что ПОКА не принес. Трудно объяснить акционерам, что было потрачено ХХХХХ $ на выплаты по найденным уязвимостям. Вот когда взломают и нужно будет заплатить ХХХХХХХ $ для ликвидации этого — все понятно и логично (шутка).
  • 0
    У Yahoo! финансовые трудности который год подряд. Не хватает деньжат, видимо.
    • +13
      За 2012 финансовый год они заработали без малого 4 млрд долларов чистой прибыли. Хотел бы я себе такие финансовые трудности :).
      • 0
        Сначала надо уволить столько-же сотрудников (-:
      • 0
        Дохода, а не чистой прибыли.
        techcrunch.com/2013/01/28/yahoo-q4-2013/
          • 0
            Income — это доход. Прибыль там — Gross Profit кажется.
            • 0
              Вот и вот. Net income это как раз та самая «чистая прибыль».
              • 0
                Что тогда значит profit на этой картинке?

                tctechcrunch2011.files.wordpress.com/2013/01/yahoo-q412a.png?w=640&h=310
                • +1
                  Скорее всего EBITDA.
                  • +5
                    Воу, воу, полегче с выражениями.
                  • 0
                    В Википедии тоже речь о доходе в 4 млрд.:
                    ru.wikipedia.org/wiki/Yahoo!
                    • 0
                      По этой же ссылке всё понятно расписано:
                      Оборот ▼ $4,984 млрд (2011, US GAAP)
                      Чистая прибыль ▼ $1,049 млрд (2011)

                      Оборот, в данном контексте = Выручка (доход) от (всей) деятельности.
                      Прибыль, всё же, лярд с небольшим, но не 4…
                      • 0
                        В русском варианте статьи данные по 2011 году, в то время как в английском варианте данные за 2012 год, где чистая прибыль была существенно выше предыдущих показателей за счет продажи активов.

                        Опять же, пройдите пройдите по ссылке и посмотрите в Annual Data всю доступную информацию, с таблицами и графиками: в 2011 году Net Income (чистая прибыль) действительно составила 1.048 млрд долларов, а в 2012 уже 3.945 млрд.
                        • 0
                          Да, Вы правы — рост и выручки и дохода в 12м году практически в 3 раза выше чем в 11м…
                          Неслабый рост. :)
      • +1
        Видно, что основную часть прибыли в 2012 г. составила продажа активов

        Gain (Loss) on Sale of Assets — $4,603.32 mln.

        Операционная прибыль по сравнению с 2011 даже упала $566 млн. против $800 млн.

  • 0
    Интересно откуда цифра 12,50?
    • 0
      видимо цена на корпоративную символику в виде футболки :)
      • 0
        Нет, я вполне серьёзно спросил. Неужели у них выделяется определённый бюджет на ИБ. Они что вычислили среднее между количеством страниц и бюджетом? Смешно просто.
        • +2
          Вариант 1. Просто посчитали. Например, узнали сколько платит тот же Facebook и уменьшили награду в той же пропорции, в какой популярность Яху меньше популярности Фейсбука ;)

          Варант 2. Это стратегическое решение. Специально выбрали смешную цену, чтобы не привлекать ещё больше хакеров к своему сервису. Чинить, наверное, всё равно не собираются, значит чем меньше людей ищут, тем лучше.

          • +1
            Или прикинули, какой ущерб будет нанесен компании, если уязвимость начнут эксплуатировать (до того момента, как проблему обнаружат) и он оказался равен 12.50$
  • +9
    Ага, или пойти продать уязвимость в 1000 раз дороже на черном рынке
    • +2
      А, ради интереса, вы случайно не знаете где эти уязвимости продаются? Это какие-то форумы специализированные или как этот рынок организован?
      • +8
        1337day.com одна из известных мировых. банальную xss можно и на античате продать. более серьезные баги можно продать создателям связок, либо софта для ботнетов (zeus, carberp и т.д). На приват форумах в основном торгуют.
        • +2
          А откуда вы знаете?
  • +1
    Yahoo буржуи… Даже как то не видно смысла время тратить на поиски ошибок на такие гроши…
  • +4
    Хм, что то компания Яххху торговалась до последнего… прямо как «Изя на Привозе». Поражаюсь жлобству и тупости.
  • +1
    Для полного издевательства нужно было $12.99 предложить выплатить.
  • +1
    Видимо, Yahoo сознательно занизило стоимость найденной уязвимости, зная сколько их у них там всего.
  • +3
    Минимальная цена Facebook за найденную уязвимость составляет $500.

    А реальная цена — ответ «Я сожалею, но это не ошибка».
  • 0
    Мне показалась данная тема провокационная, мол Яху плохие и мало платят: Почему они должны заплатить больше 12 баксов? Никто ничего не обещал же. Ни контракта, ни публичной оферты.

    А еще меня всегда радует: «А вон ФейсБук заплатил нам за -то же самое 500 долларов, а вы нет!». Ну идите и ищите у фейсбука! Кто вас заставлял тратить 45 минут, вставляя во все формочки ? Вы сами же проявили инициативу, за что вам «Спасибо» в виде символики компании! По-моему это хорошо.

    • +1
      Да, вы правы, футболка Yahoo — это чертовски круто!)
      • 0
        Да дело не в награде ж) Можно просто «стену славы» сделать) В конечном счете ради чего люди шлют баги вендору? Ради награды? ИМХО, вся эта телега затеяна с целью PR никому не понятной фирмы High Tech Bridge, которая, о подвиг, нашла XSS в Яху… и решила раздуть «шум», на фоне «отношения к безопасности», что, конечно, никак не связанно, но некоторые деятели ИБ (все, на самом деле, просто в разных плоскостях и уровнях) всегда будут заниматься «этим» ПР-гоневом 8)
        • 0
          ИМХО, вся эта телега затеяна с целью PR никому не понятной фирмы High Tech Bridge, которая, о подвиг, нашла XSS
          — вполне возможно :)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.