脆弱性報告者にギフトクーポンを送っていた米Yahoo!、苦情を受けて報奨金プログラムを改定 24
ストーリー by headless
寸志 部門より
寸志 部門より
バグの発見者に対する報奨金プログラムを導入する企業が増えており、高額な報奨金が支払われることもあるが、米Yahoo!のXSS脆弱性1件に対する報奨金額は12.5ドルだったという(High-Tech Bridgeの記事、
本家/.)。
スイスのセキュリティー企業High-Tech Bridgeは、Yahooの報奨金プログラムの内容を確かめるため、XSS脆弱性を見つけて報告してみたそうだ。最初の1件は既に報告されたものだとして報奨金の対象にならなかったが、さらに調査をして3件のXSS脆弱性を報告したという。発見したXSS脆弱性は、いずれもYahooにログインしたユーザーに細工したリンクをクリックさせることで@yahoo.comのメールアカウントを乗っ取れるといったもの。しかし、返信があったのは2件分のみで、感謝の言葉とともに25ドルの報奨金額が提示されたという。しかも報奨金は現金ではなく、YahooのTシャツなどノベルティー商品を販売するYahoo! Company Storeで使えるギフトクーポンのコードだったとのこと。そのため、High-Tech Bridgeでは、これ以上の調査を行わないことを決めたとのことだ。
(続く...)
スイスのセキュリティー企業High-Tech Bridgeは、Yahooの報奨金プログラムの内容を確かめるため、XSS脆弱性を見つけて報告してみたそうだ。最初の1件は既に報告されたものだとして報奨金の対象にならなかったが、さらに調査をして3件のXSS脆弱性を報告したという。発見したXSS脆弱性は、いずれもYahooにログインしたユーザーに細工したリンクをクリックさせることで@yahoo.comのメールアカウントを乗っ取れるといったもの。しかし、返信があったのは2件分のみで、感謝の言葉とともに25ドルの報奨金額が提示されたという。しかも報奨金は現金ではなく、YahooのTシャツなどノベルティー商品を販売するYahoo! Company Storeで使えるギフトクーポンのコードだったとのこと。そのため、High-Tech Bridgeでは、これ以上の調査を行わないことを決めたとのことだ。
(続く...)
一方、この件について大量の苦情メールを受け取ったというYahooのRamses Martinez氏は、セキュリティーコミュニティーからバグ報告や脆弱性報告などを受けるチームの担当になった時には謝礼などの方法について何も決まっておらず、個人的に感謝の意を示すために自腹でTシャツを購入して送っていたと説明している。その後、Tシャツをすでに受け取った人も増えてきたため、ギフトクーポンに変更したそうだ。しかし今回の件もあり、脆弱性報告システムを改善するために準備していた新しい方針の適用を早めることにしたという。新しいシステムではTシャツではなく、内容によって150ドルから15,000ドルの報奨金が支払われることになるとのことだ(Yahoo! Developer Networkの記事、
Graham Cluley Security Newsの記事、本家/.)。
泣ける話じゃないか… (スコア:5, すばらしい洞察)
中途半端に謝礼を渡すとむしろマイナス効果なのか。
Re:泣ける話じゃないか… (スコア:2)
別に悪いことをしているわけではないのに、やらない方がマシだと思われてしまう不憫なパターン……
中途半端にやるのが最悪。とは、どこでも共通する真理らしい。
Re: (スコア:0)
しかし、こういう外部からの突き上げがあったからこそ、大したロビー活動もせずに、上にお金を出させることを納得させられたわけだから、大きな目で見れば大成功だと思うけどね。自分が担当している間に大きな事件が起こったわけでもないし、25ドルで脆弱性を2件手に入れたしで、損した部分はあんまりないんじゃないかな。むしろ、やらないよりはずっと良かったと思うよ。
Re:泣ける話じゃないか… (スコア:2)
それなら何も出さない状況でも結局同じことになったろうから、自腹切ってまで出して批判されたのは明らかに不憫なパターン。
素直に可哀相だと思う。
可能な限りの親切をしたがあまりってのは私も経験があるので、本当に、思うわ。
Re: (スコア:0)
みんなそうやって学んでいくんだよ。
自分の得にもならないのに他人に親切なんかするもんじゃない。
Re:泣ける話じゃないか… (スコア:1)
煽りでも何でもなくて、本当にそうだよね。
世界中がこんな状況ではないと、信じたいけどなぁ。目の前は、もう、諦めた。
Re: (スコア:0)
日本だとバグ報告が粗探しって感じにとらえられ、感謝どころか・・・
Re: (スコア:0)
そんな時こそ座布団ですよ
『座布団10枚溜まった方にはYahoo!からありがた〜い商品がでますので、みなさんがんばってください』
Re: (スコア:0)
知りたくない事は座布団10枚の景品だろ?
Re: (スコア:0)
手ぬぐい、いっときましょうか
ほんと騙されやすいな (スコア:0)
本当に自腹だと思っているの?
Re: (スコア:0)
なんだ、自腹じゃなかったのか。良かった。
まるで (スコア:1)
ソフトバンクみたいなせこさ。
Re:まるで (スコア:3, すばらしい洞察)
それでも報告者のプロバイダに回線を止めさせる圧力をかけるような所とは比べ物にならんけどな
一方、日本のベネッセでは (スコア:1)
XSSの報告者のプロバイダに連絡して、報告者のネット接続を止めたようです。
http://masatokinugawa.l0.cm/2013/09/xss.benesse.html [l0.cm]
誰が何の為に報告するのか(-8.1:フレームの元) (スコア:0)
脆弱性チェックをして報酬が少ないって文句を言うのは一般人の感覚とすると
かなり変なんだけど、セキュリティ専門家ってそういうモノなんでしょうか?
Re: (スコア:0)
ですが私の感覚からするとそれは「契約」が前提であって、ある意味勝手に脆弱性を見つけて「セコいからもう知らん!」というのは、自分だけが思っているならともかく、それを公表するというのは。。。
しつこいですが「私の感覚からすると」浅ましい気がします。
Re:誰が何の為に報告するのか(-8.1:フレームの元) (スコア:2)
「報奨金プログラム」とまで来れば、そういう主張があってもいいと思う。
>ある意味勝手に脆弱性を見つけて
報奨金をだしてまで、そういう「お願い」をしているのは米Yahoo!の側なんだから。
セキュリティ専門家が「勝手に見つけた」わけじゃない。そこを勘違いしちゃいかん。
Re:誰が何の為に報告するのか(-8.1:フレームの元) (スコア:2, すばらしい洞察)
Re: (スコア:0)
まさにそれ。
アブない人たちより高い金を出してるところなら(比較的)安心できるし、
現にgoogleとかはそうやってブランドネームを買ってる。
このセキュリティ専門家()たちが言いたいのもそういうことだろうね。
Re: (スコア:0)
それって、自称セキュリティ関係者ってのは気に入らなきゃ裏で何をするか判らない奴って事になるけどな。
Re: (スコア:0)
自称セキュリティ関係者でないともっと何をするか判らないけどな。
そういえば (スコア:0)
日Yahooの中の人からamazonギフトの謝礼が個人的に貰ったという話もありましたね。
Re: (スコア:0)