脆弱性報告者にギフトクーポンを送っていた米Yahoo!、苦情を受けて報奨金プログラムを改定 24
ストーリー by headless
寸志 部門より
寸志 部門より
バグの発見者に対する報奨金プログラムを導入する企業が増えており、高額な報奨金が支払われることもあるが、米Yahoo!のXSS脆弱性1件に対する報奨金額は12.5ドルだったという(High-Tech Bridgeの記事、
本家/.)。
スイスのセキュリティー企業High-Tech Bridgeは、Yahooの報奨金プログラムの内容を確かめるため、XSS脆弱性を見つけて報告してみたそうだ。最初の1件は既に報告されたものだとして報奨金の対象にならなかったが、さらに調査をして3件のXSS脆弱性を報告したという。発見したXSS脆弱性は、いずれもYahooにログインしたユーザーに細工したリンクをクリックさせることで@yahoo.comのメールアカウントを乗っ取れるといったもの。しかし、返信があったのは2件分のみで、感謝の言葉とともに25ドルの報奨金額が提示されたという。しかも報奨金は現金ではなく、YahooのTシャツなどノベルティー商品を販売するYahoo! Company Storeで使えるギフトクーポンのコードだったとのこと。そのため、High-Tech Bridgeでは、これ以上の調査を行わないことを決めたとのことだ。
(続く...)
スイスのセキュリティー企業High-Tech Bridgeは、Yahooの報奨金プログラムの内容を確かめるため、XSS脆弱性を見つけて報告してみたそうだ。最初の1件は既に報告されたものだとして報奨金の対象にならなかったが、さらに調査をして3件のXSS脆弱性を報告したという。発見したXSS脆弱性は、いずれもYahooにログインしたユーザーに細工したリンクをクリックさせることで@yahoo.comのメールアカウントを乗っ取れるといったもの。しかし、返信があったのは2件分のみで、感謝の言葉とともに25ドルの報奨金額が提示されたという。しかも報奨金は現金ではなく、YahooのTシャツなどノベルティー商品を販売するYahoo! Company Storeで使えるギフトクーポンのコードだったとのこと。そのため、High-Tech Bridgeでは、これ以上の調査を行わないことを決めたとのことだ。
(続く...)
一方、この件について大量の苦情メールを受け取ったというYahooのRamses Martinez氏は、セキュリティーコミュニティーからバグ報告や脆弱性報告などを受けるチームの担当になった時には謝礼などの方法について何も決まっておらず、個人的に感謝の意を示すために自腹でTシャツを購入して送っていたと説明している。その後、Tシャツをすでに受け取った人も増えてきたため、ギフトクーポンに変更したそうだ。しかし今回の件もあり、脆弱性報告システムを改善するために準備していた新しい方針の適用を早めることにしたという。新しいシステムではTシャツではなく、内容によって150ドルから15,000ドルの報奨金が支払われることになるとのことだ(Yahoo! Developer Networkの記事、
Graham Cluley Security Newsの記事、本家/.)。
泣ける話じゃないか… (スコア:5, すばらしい洞察)
中途半端に謝礼を渡すとむしろマイナス効果なのか。
Re:泣ける話じゃないか… (スコア:2)
別に悪いことをしているわけではないのに、やらない方がマシだと思われてしまう不憫なパターン……
中途半端にやるのが最悪。とは、どこでも共通する真理らしい。
Re:泣ける話じゃないか… (スコア:2)
それなら何も出さない状況でも結局同じことになったろうから、自腹切ってまで出して批判されたのは明らかに不憫なパターン。
素直に可哀相だと思う。
可能な限りの親切をしたがあまりってのは私も経験があるので、本当に、思うわ。
Re:泣ける話じゃないか… (スコア:1)
煽りでも何でもなくて、本当にそうだよね。
世界中がこんな状況ではないと、信じたいけどなぁ。目の前は、もう、諦めた。