Video: 09/29/2019 - Live Bug Bounty Recon Session on Yahoo (meg, assetfinder, etc) w/ @Tomnomnom (Desember 2024)
Beberapa hari yang lalu, peneliti dari perusahaan keamanan Swiss High-Tech Bridge melaporkan percobaan sederhana. Mereka menghabiskan satu hari menyisir situs web Yahoo untuk bug, menemukan tiga yang serius, dan mengirimkannya ke Yahoo, untuk tujuan mengevaluasi program hadiah bug perusahaan. Upah mereka? $ 12, 50 per bug, hanya dapat ditukarkan di toko perusahaan Yahoo. Mungkin dipermalukan oleh perhatian yang ditujukan pada hadiah kecil yang menyedihkan ini, Yahoo telah meningkatkan karunia bug. Bergantung pada keparahan masalah yang dilaporkan, peneliti sekarang akan menerima dari $ 150 hingga $ 15.000 untuk laporan. Dan ya, itu tunai, bukan kaos.
Terima Kasih Pribadi
Dalam sebuah posting blog sederhana oleh Ramses Martinez, diidentifikasi sebagai "Direktur, Yahoo Paranoids, " menjelaskan sejarah program karunia bug, dan arah barunya. "Saya mulai mengirim kaos sebagai ucapan terima kasih pribadi, " kata Martinez. "Aku bahkan membeli kemeja itu dengan uangku sendiri." Kemudian, karena beberapa pengirim telah menerima t-shirt, "Saya mulai membeli sertifikat hadiah sehingga mereka bisa mendapatkan hadiah pilihan lain."
Martinez mencatat bahwa hal utama yang dibutuhkan banyak peneliti sebagai ganti pelaporan bug adalah "surat yang bisa mereka tunjukkan kepada atasan atau klien mereka." T-shirt dan sertifikat hadiah hanya ucapan terima kasih pribadi di atas. Adapun bukti yang sebenarnya, "Saya menulis surat-surat ini sendiri."
Kebijakan Pelaporan Baru
Per posting Martinez, Yahoo sudah menyadari kebijakan karunia bug membutuhkan upgrade. "Tim keamanan menempatkan sentuhan akhir pada program yang direvisi, " katanya. "Daripada menunggu lebih lama, kami memutuskan untuk melihat pratinjau kebijakan pelaporan kerentanan kami sedikit lebih awal."
Anda dapat membaca detail lengkap di pos Martinez. Yahoo akan merampingkan proses pelaporan, bekerja untuk memvalidasi laporan sesegera mungkin, dan bekerja lebih keras untuk mengatasi masalah secara tepat waktu. Mereka yang melaporkan bug terverifikasi akan dihubungi "tidak lebih dari empat belas hari setelah pengiriman (tetapi biasanya jauh lebih cepat)" dan akan menerima pengakuan resmi dari Yahoo. "Untuk masalah yang dilaporkan terbaik, kami akan langsung memanggil dari situs kami kontribusi individu di 'hall of fame.'"
Juga, tidak ada lagi kaos atau barang curian sebagai hadiah. "Yahoo sekarang akan memberi penghargaan kepada individu dan perusahaan yang mengidentifikasi apa yang kami klasifikasikan sebagai masalah baru, unik dan / atau berisiko tinggi antara $ 150 - $ 15.000." Adapun ukuran hadiah, bahwa "akan ditentukan oleh sistem yang jelas berdasarkan pada set elemen yang ditentukan yang menangkap keparahan masalah." Kebijakan ini akan mulai berlaku pada akhir Oktober dan akan berlaku surut hingga 1 Juli 2013. "Ini termasuk, tentu saja, pemeriksaan untuk para peneliti di High-Tech Bridge yang tidak menyukai t-shirt saya, " gurau Martinez.
Perbaikan yang Pasti
"Kami tidak melakukan penelitian untuk mencari uang, seperti yang kami katakan dengan jelas kepada Yahoo saat melaporkan kerentanan, " kata CEO High-Tech Bridge Ilia Kolochenko. "Namun, kami senang bahwa Yahoo sekarang memperkenalkan Program Bug Bounty baru yang akan memfasilitasi hubungan mereka dengan peneliti keamanan dan membantu mereka meningkatkan keamanan perusahaan mereka. Itu kabar baik."
Namun faktanya tetap, bahwa pemain utama lainnya membayar banyak bug yang lebih besar. Microsoft bertahan untuk waktu yang lama, tetapi awal tahun ini melembagakan hadiah hingga $ 100.000. Facebook telah membayar lebih dari satu juta dolar dalam bentuk bug bug, dan Google dilaporkan telah membayar lebih dari dua juta. Di sisi lain, hadiah Apple untuk mereka yang menemukan bug signifikan adalah ketenaran, tidak lebih. Rencana baru Yahoo jatuh di suatu tempat di tengah; kita akan melihat cara kerjanya bagi mereka.