Несколько дней назад у компании Yahoo случился скандал. Компания предложила исследователям, обнаружившим опасную XSS-уязвимость на сайте, вознаграждение в виде подарочного сертификата на покупку в фирменном магазине. Из расчета $12,50 за уязвимость специалисты из швейцарской компании High-Tech Bridge могли разве что купить себе маечку фирменного фиолетового цвета с логотипом.
Теперь Yahoo пытается исправить подмоченную репутацию. Компания объявила о «пересмотре» политики выплаты вознаграждений за уязвимости. С официальным разъяснением выступил лично Рамзес Мартинез (Ramses Martinez) — тот самый менеджер, который и выслал подарочный сертификат. Он сказал, что рассылка маек у них раньше была стандартном способом благодарности в таких случаях.
Наверное, Рамзес получил нагоняй на самом высшем уровне руководства корпорации. Он пообещал, что с 31 октября вступят в силу новые правила оплаты за баги. Сумма вознаграждения составит от $150 до $15 000, в зависимости от серьезности бага. При этом компания обещает задним числом оплатить все уязвимости, о которых ей сообщили с 1 июля 2013 года.
Yahoo понимает, что с хакерским сообществом нужно дружить, и компания должна иметь хорошую репутацию, иначе это грозит неприятными последствиями. Прочитав историю про майку, другой специалист по безопасности может и не сообщить в Yahoo о найденной уязвимости.
По совету ребят из High-Tech Bridge, Разес пообещал реализовать и нечто вроде «доски почета» для тех, кто сообщает об уязвимостях.
