לפני מספר ימים דיווחו חוקרים ממשרד האבטחה השוויצרי High-Tech Bridge על ניסוי פשוט. הם בילו יום בסריקה באתרי יאהו אחר באגים, מצאו שלושה אתרים רציניים והגישו אותם ליאהו, לצורך הערכת תוכנית שפע הבאגים של החברה. התגמול שלהם? 12.50 דולר לבאג, ניתן למימוש רק בחנות החברה של יאהו. יאהו העלה את שפע הבאגים, אולי שנבייש מהתייחסות המכוונת לתגמול הקטן והמעורר רחמים הזה. תלוי בחומרת הבעיה המדווחת, החוקרים יקבלו כעת בין 150 ל -15, 000 דולר לדיווח. וכן, זה במזומן, לא חולצות טריקו.
תודה אישית
בפוסט בבלוג מטופש של רעמסס מרטינז, שזוהה כ"במאי, פרנואידים של יאהו ", הסביר את ההיסטוריה של תוכנית שפע הבאגים ואת הכיוון החדש שלה. "התחלתי לשלוח חולצת טי בתור 'תודה אישית'", אמר מרטינז. "אפילו קניתי את החולצות בכספי שלי." מאוחר יותר, מכיוון שכמה מגישים שקיבלו כבר חולצת טריקו, "התחלתי לקנות תעודת מתנה כדי שיוכלו לקבל מתנה אחרת לבחירתם."
מרטינז מציין כי הדבר העיקרי שצריך חוקרים רבים בתמורה לדיווח על באג הוא "מכתב שיכלו להראות לבוס או ללקוח שלהם." חולצות הטריקו ותעודות שי היו רק תודה אישית על הדף. לגבי ההוכחה בפועל, "אני כותב את המכתבים האלה בעצמי."
מדיניות דיווח חדשה
לפי פוסטו של מרטינז, יאהו כבר הבין שמדיניות הנחיות הבאג זקוקה לשדרוג. "צוות האבטחה שם את גימור התוכנית המתוקנת", אמר. "במקום לחכות עוד, החלטנו להציג תצוגה מקדימה של מדיניות דיווח הפגיעות שלנו קצת מוקדם."
תוכלו לקרוא את הפרטים המלאים בפוסט של מרטינז. יאהו תייעל את תהליך הדיווח, תעבוד לאימות דוחות בהקדם האפשרי ותעבוד עוד יותר כדי לטפל בבעיות בצורה מתוזמנת. אלה שדיווחו על באגים מאומתים ייצרו קשר "לא יותר מארבעה עשר יום לאחר הגשתם (אך בדרך כלל הרבה יותר מהר)" ויקבלו הכרה רשמית מ- Yahoo. "למען הנושאים המדווחים הטובים ביותר, אנו קוראים ישירות מהאתר שלנו את תרומתו של האדם ב'היכל התהילה '."
כמו כן, לא עוד חולצות טריקו או להחליק כפרסים. "יאהו תגמול כעת אנשים וחברות שמזהות את מה שאנחנו מסווגים כנושאים חדשים, ייחודיים ו / או בעלי סיכון גבוה בין 150 ל -15 אלף דולר." באשר לגודל השפע, זה "ייקבע על ידי מערכת ברורה המבוססת על קבוצה של אלמנטים מוגדרים שתופסים את חומרת הגיליון." מדיניות זו תיכנס לתוקף בסוף אוקטובר ותהיה רטרואקטיבית עד 1 ביולי 2013. "זה כולל כמובן בדיקה לחוקרים בגשר ההיי-טק שלא אהבו את חולצת הטריקו שלי, " אמר מרטינז.
שיפור מוגדר
מנכ"לית היי-טק ברידג ', איליה קולוצ'נקו, אמרה כי "לא ביצענו את המחקר שלנו תמורת כסף, כפי שאמרנו בבירור ליאהו תוך דיווח על הפגיעויות. "עם זאת, אנו שמחים שיאהו מציגה כעת תוכנית באג באונטי חדשה שתאפשר את קשריהם עם חוקרי אבטחה ותעזור להם לשפר את האבטחה התאגידית שלהם. אלה בהחלט חדשות טובות."
עובדה נותרה, עם זאת, ששחקנים גדולים אחרים משלמים סכומי באגים גדולים בהרבה. מיקרוסופט החזיקה מעמד זמן רב, אך מוקדם יותר השנה הנהיגה זיכיון של עד 100, 000 דולר. פייסבוק שילמה מעל מיליון דולרים בסכומי באגים, ועל פי הדיווחים גוגל שילמה למעלה משני מיליון. בצד האחורי, הפרס של אפל למי שמגלה באגים משמעותיים הוא תהילה, לא יותר מזה. התוכנית החדשה של יאהו נופלת איפשהו באמצע; נראה איך זה מסתדר להם.