Сегодня все больше компаний предлагают вознаграждение для хакеров, которые нашли на сайте опасные уязвимости, но не воспользовались ими в деструктивных целях, а своевременно сообщили разработчикам о баге.

Специалисты по информационной безопасности из компании High-Tech Bridge решили организовать небольшой эксперимент с компанией Yahoo, которая тоже вроде обещает выплачивать вознаграждения за баги. Ребята захотели посмотреть, каким образом компания отблагодарит их за уязвимость.

Хакеры-активисты вооружились браузером Firefox — и за 45 минут нашли XSS-уязвимость. Это был классический баг, затрагивающий домен marketingsolutions.yahoo.com, о чем исследователи сразу же сообщили в отдел безопасности Yahoo. Однако, в ответ получили письмо, что эта уязвимость уже известна отделу безопасности от другого исследователя.

К чести швейцарских хакеров под руководством Ильи Колошенко, они не опустили руки, продолжили исследование и через пару дней нашли еще три XSS-бага, затрагивающих домены ecom.yahoo.com и adserver.yahoo.com. Каждый из них позволяет взломать любой аккаунт @yahoo.com, послав специально составленную ссылку залогиненному пользователю почты Yahoo Mail.

На этот раз отдел безопасности Yahoo поблагодарил ребят за работу и предложил им вознаграждение за две уязвимости. Правда, размер и форма этого вознаграждения оказались не очень стандартными. Компания выслала хакерам подарочный код на $25, то есть по $12,50 за каждую из уязвимостей.

Этот подарочный сертификат можно отоварить в фирменном магазине, где продают майки, носки и другие товары с логотипом Yahoo.

Лучше бы они вообще ничего не высылали, потому что подобное «вознаграждение» иначе как издевательством не назовешь, тем более когда подобные уязвимости можно продать на черном рынке гораздо дороже.



Оставить мнение