A Mozilla, a Google és a Facebook után most a Yahoo is pénzdíjat ad azoknak a külső szakembereknek, akik sérülékenységeket tárnak fel a Yahoo-rendszerekben, -alkalmazásokban, és azokat közvetlenül, első kézből a fejlesztők tudomására hozzák. A fizetés persze egyik cégnél sem automatikus: a belső szakemberek elemzik a bejelentett hibát, elkészítik a hibajavításokat stb., és a sérülékenység súlya alapján fizetnek a bejelentőnek. Az pedig cégenként eltérő, hogy kitől fogadnak el bejelentést. A PayPal például nyáron a 18 év alatti tehetségeknek is kidolgozott egy programot. A Google igazán nagylelkű: a legsúlyosabb biztonsági rések akár 20 ezer dollárt is érhetnek. A Facebook is a hiba súlyossága szerint fizet, a tarifa 500 dollárról indul. (A cégek jutalmazási konstrukcióiról itt írtunk részletesebben.). A Yahoo eddig igencsak szűkmarkú volt: mindössze egy szitázott pólót adott a bejelentőnek. Aztán jött egy balhé...

A kutatók megsértődtek

A svájci High-Tech Bridge az elmúlt időszakban négy súlyos hibát tárt fel a Yahoo! rendszereiben. Közülük három kihasználásával Yahoo! postafiókokhoz lehetett hozzáférést szerezni. A Yahoo! fejlesztői orvosolták is a problémákat, majd nem sokkal később a High-Tech Bridge kapott négy 12,5 dolláros kupont kapott a vállalattól, amiket céges logóval felmatricázott pólókra, bögrékre, tollakra válthatott volna be. A svájciak kicsit kiborultak: "Fel kellene függesztenünk a Yahoo! hálózataival kapcsolatos kutatásainkat. Ez egy rossz vicc!" – nyilatkozták.

Ramses Martinez: a pólókat is zsebből fizette

Miután az eset napvilágra került, a Yahoo azonnal felülvizsgálta az eddigi gyakorlatát. Ám nem csak az derült ki, hogy a vállalat nem honorálta a biztonsági kutatók munkáját, hanem más faramuci ügyre is. Például arra, hogy nem egyszer Ramses Martinez, a Yahoo! biztonsági csoportjának vezetője a saját pénzén vett pólókat, amiket aztán elküldött a kutatóknak, hogy legalább jelképesen tudjon valamit adni elismerésül. Jó hír a hibavadászoknak, hogy novembertől ez a helyzet megváltozik, ugyanis a vállalat illetékei végre rájöttek: a pár dolláros kuponnál azért talán többet érdemelnek az etikus hackerek.

Sávos díjazás és erkölcsi elismerés

A Yahoo sávos díjazást vezet be. A valóban létező sebezhetőségek bejelentése után a felfedező minimum 150 dollárt kap, de az összeg a feltárt hiba súlyosságától függően akár 15 ezer dollárra is felkúszhat. Sőt a cégnél az is felmerült, hogy az idén júliustól mostanáig beérkezett hibabejelentéseket utólagosan honorálja, azaz talán a High-Tech Bridge szakemberei is megkaphatják értékes munkájuk ellenértékét.

Azzal persze Ramses Martinez is pontosan tisztában volt, hogy a sebezhetőségek után kutakodó szakembereknek gyakran igazán nem is a pénz számít, és elsősorban nem a fizetség reményében dolgoznak. Sokkal inkább olyan elismerést várnak, amelyet aztán a későbbiekben, például egy jobb munkahely reményében felmutathatnak. Ezért a biztonsági csoport vezetője ígéretet tett arra is, hogy a veszélyes biztonsági rések bejelentői kapnak egy nyilatkozatot, amit referenciaként használhatnak karrierjük építéséhez.

A Yahoo már dolgozik a hibabejelentések fogadására alkalmas weboldalának megújításán is, hogy hatékonyabbá tegye a sérülékenységi információk kezelését.

_{(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)}