Пару дней назад по Сети разнеслась история из блога компании High Tech Bridge, в которой рассказывалось как Yahoo мотивирует экспертов по безопасности сообщать о найденных уязвимостях. Речь шла о том, что в ответ на сообщения о имеющихся XSS на ряде поддоменов yahoo.com, специалисты, нашедшие проблемы, получили вознаграждение в виде купонов на приобретение футболок и ручек в фирменном магазине компании на сумму $12.50.
В ответ на это Рамзес Мартинес (Ramses Martinez), директор подразделения Yahoo Paranoids (так в компании называется команда инженеров, отвечающая за информационную безопасность) в своём посте объяснил почему в его компании так скромно реагируют на достаточно ценную информацию, и что отныне подход к её оценке будет серьёзно пересмотрен в сторону увеличения финансового вознаграждения.
Как объясняет Мартинез, в Yahoo не существовало никакого формального действия, обязывающего каким-либо образом отблагодарить автора за обнаруженную проблему. Понимая, что простая отписка по email со словами вроде «Спасибо, информация принята к сведению» выглядит немного некрасиво, директор Paranoids стал рассылать футболки авторам уязвимостей как знак его персональной благодарности; мало того, Мартинес покупал их за свои деньги и когда выяснилось, что у некоторых уже по несколько футболок, то он принял логичное решение отправлять людям скидочные купоны, чтобы люди могли сами выбрать себе подарок по душе.
Другая форма признания заслуг заключалась в том, что Мартинес сам писал email тем авторам, которым требовалось признание факта наличия уязвимости одним из директоров Yahoo с тем, чтобы это письмо можно было показать либо своему боссу, либо клиентам как доказательство компетенции специалиста по ИБ.
В итоге Мартинес признаёт, что пару дней назад его email был переполнен гневными письмами (вероятно, речь идёт как раз об истории с $12.50), смысл которых заключался в том, что футболка — это недостойная плата за поиск уязвимости. И, таким образом, программа вознаграждения получила значительное обновление со стороны руководства компании. Отныне будет изме��ена система репортинга об ошибках, ещё более эффективно станет работать команда, которая должна на них реагировать и, самое главное, изменена величина денежных выплат авторам, нашедшим уязвимости — теперь эта сумма будет колебаться от $150 до $15 000 в зависимости от уровня сообщаемой проблемы.
Обновлённая политика безопасности вступает в силу с 31 октября этого года.
[Источник]
В ответ на это Рамзес Мартинес (Ramses Martinez), директор подразделения Yahoo Paranoids (так в компании называется команда инженеров, отвечающая за информационную безопасность) в своём посте объяснил почему в его компании так скромно реагируют на достаточно ценную информацию, и что отныне подход к её оценке будет серьёзно пересмотрен в сторону увеличения финансового вознаграждения.
Как объясняет Мартинез, в Yahoo не существовало никакого формального действия, обязывающего каким-либо образом отблагодарить автора за обнаруженную проблему. Понимая, что простая отписка по email со словами вроде «Спасибо, информация принята к сведению» выглядит немного некрасиво, директор Paranoids стал рассылать футболки авторам уязвимостей как знак его персональной благодарности; мало того, Мартинес покупал их за свои деньги и когда выяснилось, что у некоторых уже по несколько футболок, то он принял логичное решение отправлять людям скидочные купоны, чтобы люди могли сами выбрать себе подарок по душе.
Другая форма признания заслуг заключалась в том, что Мартинес сам писал email тем авторам, которым требовалось признание факта наличия уязвимости одним из директоров Yahoo с тем, чтобы это письмо можно было показать либо своему боссу, либо клиентам как доказательство компетенции специалиста по ИБ.
В итоге Мартинес признаёт, что пару дней назад его email был переполнен гневными письмами (вероятно, речь идёт как раз об истории с $12.50), смысл которых заключался в том, что футболка — это недостойная плата за поиск уязвимости. И, таким образом, программа вознаграждения получила значительное обновление со стороны руководства компании. Отныне будет изме��ена система репортинга об ошибках, ещё более эффективно станет работать команда, которая должна на них реагировать и, самое главное, изменена величина денежных выплат авторам, нашедшим уязвимости — теперь эта сумма будет колебаться от $150 до $15 000 в зависимости от уровня сообщаемой проблемы.
Обновлённая политика безопасности вступает в силу с 31 октября этого года.
[Источник]
