Yahoo сегодня отменила вчера объявленные условия программы вознаграждения ИТ-специалистов за выявленные в программах компании багах. Изначально в компании заявили, что будут выплачивать нашедшим баги в платформах Yahoo от 12,5 долларов за баг, но даже такие "деньжищи" нельзя будет получить наличными, вместо этого предлагалось выбрать на эту сумму себе платные товары в ассортименте Yahoo. Проще говоря, Yahoo меняла уязвимости в своих продуктах на футболки, кружки и бейсболки со своими логотипами.
Естественно, ничего кроме насмешки такая программа не могла вызвать. И после того, как Yahoo стала объектом общественных насмешек, в интернет-компании все-таки опомнились и, посмотрев на конкурентов, ввели "нормальную" программу Bug Bounty.
Согласно распространенному сегодня компанией сообщению, начиная с 31 октября, Yahoo будет выплачивать суммы от 150 до 15 000 долларов за выявленные ранее неизвестные уязвимости. Помимо этого, Yahoo намерена выплатить вознаграждения всем, кто с 1 июля этого года сообщал о багах в софте Yahoo.
Напомним, что насмешки в адрес Yahoo посыпались после того, как швейцарская секьюрити-компания High-Tech Bridge сообщила, что обнаружила в веб-платформе Yahoo четыре критически опасных уязвимости, приводившие к компрометации пользовательских данных почти 200 млн пользователей Yahoo, однако ее наградой за проделанную работу стали около 50 долларов.
"Новые условия, само собой, касаются и исследователей из High Tech Bridge, которым не понравились наши футболки", - пишет в блоге компании ее директор по безопасности Рамзес Мартинез. Также он отметил, что прежний анонс Yahoo - это пример неудачной шутки, о которой нужно как можно скорее забыть.
Отметим, что конкуренты Yahoo, в частности Google и Facebook тоже выплачивают вознаграждения за баги. К примеру, Google выплачивает до 20 000 долларов за высоко критические баги, а Facebook за баги минимальной опасности платит по 500 долларов. Аналитики говорят, что такой подход выгоднее для ИТ-компаний, так как, во-первых, он позволяет снизить расходы в сравнении с оплатой нескольких десятков штатных тестеров, а во-вторых, за счет большой потенциальной аудитории всегда позволяет смотреть на процесс тестирования "свежими мозгами".
Источник: CyberSecurity
|
