Сегодня все больше компаний предлагают вознаграждение для хакеров, которые нашли на сайте опасные уязвимости, но не воспользовались ими в деструктивных целях, а своевременно сообщили разработчикам о баге.
Специалисты по информационной безопасности из компании High-Tech Bridge решили организовать небольшой эксперимент с компанией Yahoo, которая тоже вроде обещает выплачивать вознаграждения за баги. Ребята захотели посмотреть, каким образом компания отблагодарит их за уязвимость.
Хакеры-активисты вооружились браузером Firefox — и за 45 минут нашли XSS-уязвимость. Это был классический баг, затрагивающий домен marketingsolutions.yahoo.com, о чем исследователи сразу же сообщили в отдел безопасности Yahoo. Однако, в ответ получили письмо, что эта уязвимость уже известна отделу безопасности от другого исследователя.
К чести швейцарских хакеров под руководством Ильи Колошенко, они не опустили руки, продолжили исследование и через пару дней нашли еще три XSS-бага, затрагивающих домены ecom.yahoo.com и adserver.yahoo.com. Каждый из них позволяет взломать любой аккаунт @yahoo.com, послав специально составленную ссылку залогиненному пользователю почты Yahoo Mail.
На этот раз отдел безопасности Yahoo поблагодарил ребят за работу и предложил им вознаграждение за две уязвимости. Правда, размер и форма этого вознаграждения оказались не очень стандартными. Компания выслала хакерам подарочный код на $25, то есть по $12,50 за каждую из уязвимостей.
Этот подарочный сертификат можно отоварить в фирменном магазине, где продают майки, носки и другие товары с логотипом Yahoo.
Лучше бы они вообще ничего не высылали, потому что подобное «вознаграждение» иначе как издевательством не назовешь, тем более когда подобные уязвимости можно продать на черном рынке гораздо дороже.
