研究者らがヤフーのサイトに重大な脆弱性を発見、バグ1件につき12.50ドルの報酬を提示
ブレア・ハンリー・フランク著
Yahoo は改革の真っ最中かもしれないが、あるセキュリティ企業によると、セキュリティ上の欠陥を報告した場合の報酬は…不十分だという。
セキュリティ企業ハイテクブリッジによると、同社はヤフーのプラットフォームに深刻なクロスサイトスクリプティング(XSS)の脆弱性を発見し、ヤフーに修正を依頼するためにその脆弱性を同社に報告したという。しかし、ハイテクブリッジはヤフーが提示するであろう対応を予想していなかった。
FacebookやGoogleのセキュリティ脆弱性に対する報奨金は、1件あたり数千ドルに達することも珍しくありませんが、Yahoo!が提示したのは…1件あたり12.50ドル、合計25ドルでした。これを比較すると、ハイテクブリッジの研究者たちは、Yahoo!のサニーベールオフィス近くのバーガーキングで3時間働いたとしても、この金額よりわずか1ドルしか少なくなかったでしょう。
さらに悪いことに、彼らは賞金を使ってハンバーガーを注文することすらできず、その賞金は Yahoo Company Store でのみ、このヨーデルのボトルオープナーのような製品に使うことができます。
High-Tech Bridgeのチームが指摘したように、ホワイトハットハッカーが活動する理由は金銭的な利益だけではない。Googleのような企業は、バグを報告した研究者を殿堂入りさせる制度を設けている。これは、Yahoo!が巨額の報奨金を支払うことなくバグ報告を奨励する方法かもしれないが、少なくとも現時点ではYahoo!はそうした制度を設けていない。
「ヤフーが企業セキュリティに資金を投入できないのであれば、少なくとも他の手段でセキュリティ研究者の獲得に努めるべきです。そうでなければ、ヤフーの顧客は誰も安心できないでしょう」と、ハイテクブリッジのCEO、イリア・コロチェンコ氏はプレスリリースで述べた。
ヤフーは、できるだけ多くの研究者に自社のプラットフォームで働いてもらいたいと考えているようだ。特に、ヤフーが最近解放した電子メール アカウントの過去の所有者に、機密メッセージが送られてきたと複数の人が報告しているからだ。
一方、ハイテクブリッジは、Yahoo!のプラットフォームのテストを全面的に中止する計画だと発表している。しかし、なぜそうするのかは分からない。あと3つのバグがあれば、Yahoo!のネオンサインを認識できるようになるのに。
