Информационные технологии
Вознаграждение можно получить только в качестве сувенирной продукции с логотипом компании. High-Tech Bridge

Yahoo оценило безопасность всех своих пользователей в 12 долларов и 50 центов

Вознаграждение можно получить только в качестве сувенирной продукции с логотипом компании.

На сегодняшний день все больше компаний вводят программы вознаграждения для экспертов по безопасности. Нередко механизм работы подобных программ вызывает споры и даже судебные иски – в качестве примера можно привести недавний инцидент с Facebook, когда хакер так и не смог получить вознаграждение от социальной сети.

Специалисты High-Tech Bridge решили провести серию экспериментов с компанией Yahoo, которая, по ее словам, следует лучшим политикам ИБ и поощряет разработчиков в том, чтобы они искали бреши в ее продуктах. Yahoo является менее популярной, чем Facebook и Google, при этом она также обрабатывает информацию миллионов пользователей, поэтому исследователи решили установить, как легко можно обнаружить уязвимость в продуктах подобной компании, а также, как быстро наступит реакция разработчиков.

На обнаружение первой XSS-уязвимости исследователям потребовалось всего 45 минут и браузер Firefox. Это была классическая отраженная уязвимость межсайтового скриптинга на странице marketingsolutions.yahoo.com. Эксперты сообщили Yahoo об обнаруженной бреши, на что пришел скорый ответ: «К сожалению, данная заявка не квалифицируется на вознаграждение, так как она уже была подана другим человеком. Пожалуйста, продолжайте присылать данные обо всех уязвимостях, которые вы обнаружите в дальнейшем». При этом никаких доказательств того, что уязвимость была ранее обнаружена кем то другим, предоставлено не было.

На этом исследователи не остановились, и продолжили свои поиски. В течение нескольких дней Yahoo Security Team получила данные о еще 3 XSS-уязвимостях, которые находятся на страницах ecom.yahoo.com и adserver.yahoo.com domains. Для эксплуатации уязвимости требовалось всего лишь отправить авторизованному пользователю ящика @yahoo.com специально сформированную ссылку.

На этот раз ответа Yahoo пришлось ждать 48 часов, причем администрация сердечно отблагодарила исследователей и предложила им вознаграждение в $12,5 за каждую уязвимость. Вознаграждение можно забрать только в качестве кода для скидки на Yahoo Company Store в котором продаются футболки, кружки, ручки и другие сувениры с символикой Yahoo.

На момент публикации новости все 4 XSS-уязвимости на сайте Yahoo были исправлены. С уведомлением High-Tech Bridge можно ознакомиться здесь .

По материалам Forbes, глава Yahoo Марисса Майер купила самый дорогой дом в Сан-Франциско: http://www.forbes.ru/news/244396-marissa-maier-kupila-samyi-dorogoi-dom-v-san-frantsisko

Пресс-релизы ИТ-компаний   Теги:



Редакция портала:

Благодарим за просмотр этой информации на нашем компьютерном портале. Надеемся, что обзор Yahoo оценило безопасность всех своих пользователей в 12 долларов и 50 центов, в разделе Пресс-релизы ИТ-компаний вам понравился. Есть небольшая рекомендация, если вы хотите быть в курсе всех событий сферы информационных технологий, то рекомендуем зарегистрироваться на портале www.stfw.ru.


Живая лента

•  Инсайдерам доступна сборка 19002 Windows 10 20H1 - 18.10.2019: STFW.Ru: Компания Microsoft уже подготовила окончательную сборку текущего крупного


•  National Interest рассказал о "настоящем" российском оружии "Судного дня" - 18.10.2019: STFW.Ru: Журнал National Interest рассказал о новом российском атомном подводном крейсере


•  Состоялась демонстрация экспериментальной платформы "Маркер" - 18.10.2019: STFW.Ru: 17 октября в Магнитогорске в рамках выездного заседания рабочей группы


•  Роботы в океане Астраханские ученые создают безэкипажный флот для морских исследований - 18.10.2019: STFW.Ru: Команда астраханских ученых разработала цифровые модели исследовательских


•  Резкое похудение оказалось связано с риском ранней смерти - 18.10.2019: STFW.Ru: Если люди в среднем и пожилом возрасте резко сбрасывают вес, это может резко


•  Папоротник из Лондонского зоопарка впервые "сделал селфи" - 18.10.2019: STFW.Ru: Папоротник по имени Пит сумел "снять" сам себя на фотокамеру. Ее батарея