パスワードを忘れた? アカウント作成
10057369 story
お金

脆弱性報告者にギフトクーポンを送っていた米Yahoo!、苦情を受けて報奨金プログラムを改定 24

ストーリー by headless
寸志 部門より
バグの発見者に対する報奨金プログラムを導入する企業が増えており、高額な報奨金が支払われることもあるが、米Yahoo!のXSS脆弱性1件に対する報奨金額は12.5ドルだったという(High-Tech Bridgeの記事本家/.)。

スイスのセキュリティー企業High-Tech Bridgeは、Yahooの報奨金プログラムの内容を確かめるため、XSS脆弱性を見つけて報告してみたそうだ。最初の1件は既に報告されたものだとして報奨金の対象にならなかったが、さらに調査をして3件のXSS脆弱性を報告したという。発見したXSS脆弱性は、いずれもYahooにログインしたユーザーに細工したリンクをクリックさせることで@yahoo.comのメールアカウントを乗っ取れるといったもの。しかし、返信があったのは2件分のみで、感謝の言葉とともに25ドルの報奨金額が提示されたという。しかも報奨金は現金ではなく、YahooのTシャツなどノベルティー商品を販売するYahoo! Company Storeで使えるギフトクーポンのコードだったとのこと。そのため、High-Tech Bridgeでは、これ以上の調査を行わないことを決めたとのことだ。

(続く...)
一方、この件について大量の苦情メールを受け取ったというYahooのRamses Martinez氏は、セキュリティーコミュニティーからバグ報告や脆弱性報告などを受けるチームの担当になった時には謝礼などの方法について何も決まっておらず、個人的に感謝の意を示すために自腹でTシャツを購入して送っていたと説明している。その後、Tシャツをすでに受け取った人も増えてきたため、ギフトクーポンに変更したそうだ。しかし今回の件もあり、脆弱性報告システムを改善するために準備していた新しい方針の適用を早めることにしたという。新しいシステムではTシャツではなく、内容によって150ドルから15,000ドルの報奨金が支払われることになるとのことだ(Yahoo! Developer Networkの記事Graham Cluley Security Newsの記事本家/.)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 泣ける話じゃないか… (スコア:5, すばらしい洞察)

    by Anonymous Coward on 2013年10月06日 15時32分 (#2472477)

    セキュリティーコミュニティーからバグ報告や脆弱性報告などを受けるチームの担当になった時には謝礼などの方法について何も決まっておらず、個人的に感謝の意を示すために自腹でTシャツを購入して送っていた

    中途半端に謝礼を渡すとむしろマイナス効果なのか。

    • 別に悪いことをしているわけではないのに、やらない方がマシだと思われてしまう不憫なパターン……

      中途半端にやるのが最悪。とは、どこでも共通する真理らしい。

      親コメント
      • by Anonymous Coward

        しかし、こういう外部からの突き上げがあったからこそ、大したロビー活動もせずに、上にお金を出させることを納得させられたわけだから、大きな目で見れば大成功だと思うけどね。自分が担当している間に大きな事件が起こったわけでもないし、25ドルで脆弱性を2件手に入れたしで、損した部分はあんまりないんじゃないかな。むしろ、やらないよりはずっと良かったと思うよ。

        • それなら何も出さない状況でも結局同じことになったろうから、自腹切ってまで出して批判されたのは明らかに不憫なパターン。

          素直に可哀相だと思う。
          可能な限りの親切をしたがあまりってのは私も経験があるので、本当に、思うわ。

          親コメント
          • by Anonymous Coward

            みんなそうやって学んでいくんだよ。
            自分の得にもならないのに他人に親切なんかするもんじゃない。

      • by Anonymous Coward

        日本だとバグ報告が粗探しって感じにとらえられ、感謝どころか・・・

    • by Anonymous Coward

      その後、Tシャツをすでに受け取った人も増えてきたため、ギフトクーポンに変更したそうだ。

      そんな時こそ座布団ですよ
      『座布団10枚溜まった方にはYahoo!からありがた〜い商品がでますので、みなさんがんばってください』

      • by Anonymous Coward

        知りたくない事は座布団10枚の景品だろ?

      • by Anonymous Coward

        手ぬぐい、いっときましょうか

    • 本当に自腹だと思っているの?

      • by Anonymous Coward

        なんだ、自腹じゃなかったのか。良かった。

  • by Anonymous Coward on 2013年10月06日 14時48分 (#2472460)

    ソフトバンクみたいなせこさ。

    • Re:まるで (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2013年10月06日 15時01分 (#2472464)

      それでも報告者のプロバイダに回線を止めさせる圧力をかけるような所とは比べ物にならんけどな

      親コメント
  • by Anonymous Coward on 2013年10月07日 8時58分 (#2472718)

    XSSの報告者のプロバイダに連絡して、報告者のネット接続を止めたようです。

    http://masatokinugawa.l0.cm/2013/09/xss.benesse.html [l0.cm]

  • by Anonymous Coward on 2013年10月06日 15時10分 (#2472469)

    脆弱性チェックをして報酬が少ないって文句を言うのは一般人の感覚とすると
    かなり変なんだけど、セキュリティ専門家ってそういうモノなんでしょうか?

    • by Anonymous Coward
      セキュリティ「専門家」なら、それで食べていると思われるので相場に合う?報酬を求めるのは当然な態度でしょう。
      ですが私の感覚からするとそれは「契約」が前提であって、ある意味勝手に脆弱性を見つけて「セコいからもう知らん!」というのは、自分だけが思っているならともかく、それを公表するというのは。。。
      しつこいですが「私の感覚からすると」浅ましい気がします。
      • 「報奨金プログラム」とまで来れば、そういう主張があってもいいと思う。

        >ある意味勝手に脆弱性を見つけて
        報奨金をだしてまで、そういう「お願い」をしているのは米Yahoo!の側なんだから。
        セキュリティ専門家が「勝手に見つけた」わけじゃない。そこを勘違いしちゃいかん。

        親コメント
      • by Anonymous Coward on 2013年10月06日 18時02分 (#2472530)
        とはいえ、ブラックマーケットよりも高い値(あるいは、安くても良心に従えばOKと思える範囲の見返り)を出さないと、変な人達の所に売られると面倒ですよね。
        親コメント
        • by Anonymous Coward

          まさにそれ。
          アブない人たちより高い金を出してるところなら(比較的)安心できるし、
          現にgoogleとかはそうやってブランドネームを買ってる。
          このセキュリティ専門家()たちが言いたいのもそういうことだろうね。

        • by Anonymous Coward

          それって、自称セキュリティ関係者ってのは気に入らなきゃ裏で何をするか判らない奴って事になるけどな。

          • by Anonymous Coward

            自称セキュリティ関係者でないともっと何をするか判らないけどな。

  • by Anonymous Coward on 2013年10月07日 9時56分 (#2472742)

    日Yahooの中の人からamazonギフトの謝礼が個人的に貰ったという話もありましたね。

    • by Anonymous Coward
      日本語でお願いします。
typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...