c.m.g
03-10-2013, 12:48
mercoledì 2 ottobre 2013
Le taglie offerte dall'azienda di Sunnyvale per i vari cacciatori di bachi sfiorano il ridicolo: 12,50 dollari per una vulnerabilità XSS, oltretutto da spendere solo sullo store ufficiale per l'acquisto di tazze e magliette
Roma - Mentre Microsoft e Google mettono in palio decine di migliaia di dollari per ricompensare gli sforzi dei cosiddetti bug hunter (http://punto-informatico.it/3834909/PI/News/microsoft-mette-una-taglia-sui-bachi.aspx), un'azienda del calibro di Yahoo! sembra molto meno generosa. Stando a una ricerca (https://www.htbridge.com/news/what_s_your_email_security_worth_12_dollars_and_50_cents_according_to_yahoo.html) condotta dagli esperti di High-Tech Bridge, la segnalazione delle più disparate vulnerabilità tra i domini in viola - in particolare di tipo XSS - non è stata seguita da una taglia all'altezza del prezioso lavoro di sicurezza informatica.
Dalla scoperta di tre inedite vulnerabilità XSS tra le proprietà digitali ecom.yahoo.com e adserver.yahoo.com, l'azienda di Sunnyvale ha impiegato circa 48 ore per rispondere agli analisti di High-Tech Bridge, partendo dai classici ringraziamenti di circostanza.
La cifra (http://venturebeat.com/2013/10/01/i-reported-a-major-yahoo-security-vulnerability-and-all-i-got-was-this-lousy-t-shirt/) offerta da Yahoo! per un singolo baco ha destato più di una perplessità: 12,50 dollari (poco più di 9 euro) da spendere solo sul company store, che vende online accessori griffati come tazze, magliette e penne. Il buono assegnato ai ricercatori permette (http://companystore.yahoo.com/2801s13mobile.html) ad esempio di comprare un versatile kit di accessori mobile. Con 10 cent di resto.Ilia Kolochenko, CEO di High-Tech Bridge, è decisamente convinto (http://betabeat.com/2013/10/yahoos-12-50-bug-bounty-will-not-inspire-you-to-report-many-vulnerabilities/) che l'azienda californiana dovrebbe rivedere i termini dei propri rapporti con la comunità degli esperti in sicurezza informatica o cacciatori di bug. Taglie così basse non incoraggerebbero affatto la segnalazione delle vulnerabilità, che potrebbero essere tranquillamente vendute al mercato nero a prezzi molto più interessanti di quelli offerti da Yahoo! nei buoni per l'acquisto delle sue tazze.
Mauro Vecchio
Fonte: Punto Informatico (http://punto-informatico.it/3899912/PI/Brevi/yahoo-briciole-bug.aspx)
Le taglie offerte dall'azienda di Sunnyvale per i vari cacciatori di bachi sfiorano il ridicolo: 12,50 dollari per una vulnerabilità XSS, oltretutto da spendere solo sullo store ufficiale per l'acquisto di tazze e magliette
Roma - Mentre Microsoft e Google mettono in palio decine di migliaia di dollari per ricompensare gli sforzi dei cosiddetti bug hunter (http://punto-informatico.it/3834909/PI/News/microsoft-mette-una-taglia-sui-bachi.aspx), un'azienda del calibro di Yahoo! sembra molto meno generosa. Stando a una ricerca (https://www.htbridge.com/news/what_s_your_email_security_worth_12_dollars_and_50_cents_according_to_yahoo.html) condotta dagli esperti di High-Tech Bridge, la segnalazione delle più disparate vulnerabilità tra i domini in viola - in particolare di tipo XSS - non è stata seguita da una taglia all'altezza del prezioso lavoro di sicurezza informatica.
Dalla scoperta di tre inedite vulnerabilità XSS tra le proprietà digitali ecom.yahoo.com e adserver.yahoo.com, l'azienda di Sunnyvale ha impiegato circa 48 ore per rispondere agli analisti di High-Tech Bridge, partendo dai classici ringraziamenti di circostanza.
La cifra (http://venturebeat.com/2013/10/01/i-reported-a-major-yahoo-security-vulnerability-and-all-i-got-was-this-lousy-t-shirt/) offerta da Yahoo! per un singolo baco ha destato più di una perplessità: 12,50 dollari (poco più di 9 euro) da spendere solo sul company store, che vende online accessori griffati come tazze, magliette e penne. Il buono assegnato ai ricercatori permette (http://companystore.yahoo.com/2801s13mobile.html) ad esempio di comprare un versatile kit di accessori mobile. Con 10 cent di resto.Ilia Kolochenko, CEO di High-Tech Bridge, è decisamente convinto (http://betabeat.com/2013/10/yahoos-12-50-bug-bounty-will-not-inspire-you-to-report-many-vulnerabilities/) che l'azienda californiana dovrebbe rivedere i termini dei propri rapporti con la comunità degli esperti in sicurezza informatica o cacciatori di bug. Taglie così basse non incoraggerebbero affatto la segnalazione delle vulnerabilità, che potrebbero essere tranquillamente vendute al mercato nero a prezzi molto più interessanti di quelli offerti da Yahoo! nei buoni per l'acquisto delle sue tazze.
Mauro Vecchio
Fonte: Punto Informatico (http://punto-informatico.it/3899912/PI/Brevi/yahoo-briciole-bug.aspx)