雅虎蒙羞地提出了可怜的小虫赏金

几天前，瑞士安全公司High-Tech Bridge的研究人员报告了一个简单的实验。 他们花了一天的时间梳理Yahoo的网站中的错误，发现了三个严重的错误，然后将它们提交给Yahoo，以评估该公司的错误赏金计划。 他们的奖励？ 每个错误$ 12.50，只能在Yahoo公司商店兑换。 雅虎（Yahoo）可能由于对这个可怜的小奖励的关注而感到羞愧，从而提高了对该漏洞的赏金。 根据所报告问题的严重性，研究人员现在将获得150美元至15, 000美元的报告费用。 是的，那是现金，而不是T恤。

个人致谢

在拉姆西斯·马丁内斯（Ramses Martinez）的一篇民俗博客文章中，他被称为“雅虎偏执狂总监”，解释了该漏洞赏金计划的历史及其新方向。 马丁内斯说：“我开始发送T恤作为个人的感谢。” “我什至用自己的钱买了衬衫。” 后来，由于一些提交者已经收到了一件T恤，“我开始购买礼券，这样他们就可以再选择一份礼物。”

马丁内斯（Martinez）指出，许多研究人员需要回报“错误”的主要内容是“可以向老板或客户显示的一封信”。 上面的T恤和礼券只是个人的感谢。 至于实际证明，“我自己写这些信”。

新的报告政策

在马丁内斯（Per Martinez）的帖子中，雅虎已经意识到漏洞赏金政策需要升级。 他说：“安全团队正在对修订后的程序进行最后的修改。” “我们不再等待，而是决定提前预览新的漏洞报告政策。”

您可以在Martinez的帖子中阅读完整的详细信息。 雅虎将简化报告流程，尽快验证报告，并更加努力地及时解决问题。 那些报告经过验证的错误将“在提交后的十四天内（但通常更快）联系”，并将获得Yahoo的正式认可。 “对于报道得最好的问题，我们将直接从我们的网站上召集个人在“名人堂”中的贡献。”

而且，不再有T恤或赃物作为奖励。 “雅虎现在将奖励那些将我们归类为15​​0美元至15, 000美元之间的新的，独特的和/或高风险问题的个人和公司。” 至于赏金的规模，“将由一个清晰的系统，根据一套明确的要素确定，以捕捉问题的严重性。” 这项政策将于10月底生效，并将追溯至2013年7月1日。“当然，其中包括对高科技桥研究人员的不喜欢我的T恤的检查，”马丁内斯打趣说。 。

绝对的进步

高技术桥首席执行官伊利亚·科洛琴科（Ilia Kolochenko）指出：“正如我们在报告漏洞时明确向雅虎所说的那样，我们并不是为了钱而进行研究。 “但是，我们很高兴雅虎现在推出了新的Bug赏金计划，该计划将促进他们与安全研究人员的关系，并帮助他们改善公司的安全性。这绝对是个好消息。”

但是，事实仍然是，其他主要参与者支付了更大的漏洞赏金。 微软坚持了很长时间，但今年早些时候设立了高达100, 000美元的赏金计划。 Facebook已经支付了超过一百万美元的错误赏金，而Google已经支付了超过两百万美元。 另一方面，苹果对那些发现重大漏洞的人的奖励是名望，仅此而已。 雅虎的新计划介于中间。 我们将看看如何为他们工作。