ヤフーは、12.50ドルのギフトに対する厳しい批判を受けて、最大15,000ドルのバグ報奨金を提供するようになった。
ブレア・ハンリー・フランク著
物事を動かすには、大量の悪い報道に勝るものはない。
Yahoo は火曜日、セキュリティ企業の High-Tech Bridge が 2 つのセキュリティ上の脆弱性を報告したことに対する補償として Yahoo の社内ストアで購入できる製品に使える 25 ドルのギフト券を詳細に記した不機嫌なプレス リリースを発表し、激しい非難を浴びせた。
FacebookやGoogleのようなテクノロジー大手が提供する5桁の報奨金と比較すると、Yahoo!はセキュリティ研究者に低い金額を提示しているように見えた。セキュリティ研究者は、報酬がないためYahoo!製品の欠陥を積極的に追及するつもりはないと述べた。
Yahoo は現在、バグ報告システムを全面的に見直す予定で、報奨金を少額のギフト券以上に引き上げる予定だと発表している。
Yahoo!デベロッパーネットワークのブログ「感謝の気持ちとしてTシャツを送ったのは私です」に投稿した記事の中で、Yahoo!のセキュリティチームの責任者であるラムセス・マルティネス氏は、Tシャツを送ることは開発者へのささやかな感謝の気持ちを示す方法だと述べた。
個人的な「感謝」の気持ちとして、Tシャツを送るようになりました。これはポリシーだったわけではなく、ただメール以上の何かができたらいいなと思っただけです。Tシャツは自分で買いました。お金の問題ではなく、ただ個人的な気持ちを表したかったのです。ある時、何人かの方から既に私のTシャツをもらったという連絡があったので、ギフト券を買いました。そうすれば、その人たちは好きなものをもう一つ贈ることができるからです。もう一つの希望は、上司や顧客に見せるための手紙でした。この手紙は私が自分で書いています。
こうした個人的な配慮は良いものですが、効果は長くは続きません。マルティネス氏は、研究者への報酬を増額する計画を既に立てており、ハイテクブリッジの暴露によって巻き起こった激しいPRの嵐によって、そのスケジュールが早まっただけだと述べました。
新しいシステムでは、研究者は条件を満たす脆弱性に対して150ドルから1万5000ドルの報酬を受け取るほか、Yahoo!から表彰状が送られ、同社が間もなく創設する「名誉の殿堂」に名を連ねる可能性もある。
新しいポリシーは10月31日までに公開され、ハイテクブリッジが提出したものも含め、7月1日以降に提出されたすべての脆弱性に適用される。
ハイテクブリッジのCEO、イリア・コロチェンコ氏は電子メールで、少なくとも今のところは、この方針変更はハイテクブリッジの意思決定に影響を与えていないと述べた。
この変更は間違いなく良い兆候です。しかし、Yahoo!との関係構築当初からお伝えしている通り、私たちは脆弱性を金銭と引き換えに報告しているわけではありません。したがって、今回の変更が今後の調査に影響を与えることはありません。現時点では、Yahoo!のサービスにおける脆弱性の調査に特に力を入れているわけではありませんが、万が一脆弱性を発見した場合は、これまで通りすべてYahoo!に報告します。Yahoo!が過去に報告された脆弱性に対する報奨金を増額することを決定した場合、その額は非営利の情報セキュリティ協会の支援に充てられます。
GeekWireの以前の記事:研究者がYahoo!のサイトに重大な脆弱性を発見、バグ1件につき12.50ドルの報酬を提示
