脆弱性報告者にギフトクーポンを送っていた米Yahoo!、苦情を受けて報奨金プログラムを改定
2013年10月6日 14:47
バグの発見者に対する報奨金プログラムを導入する企業が増えており、高額な報奨金が支払われることもあるが、米Yahoo!のXSS脆弱性1件に対する報奨金額は12.5ドルだったという(High-Tech Bridgeの記事、本家/.)。
スイスのセキュリティー企業High-Tech Bridgeは、Yahooの報奨金プログラムの内容を確かめるため、XSS脆弱性を見つけて報告してみたそうだ。最初の1件は既に報告されたものだとして報奨金の対象にならなかったが、さらに調査をして3件のXSS脆弱性を報告したという。発見したXSS脆弱性は、いずれもYahooにログインしたユーザーに細工したリンクをクリックさせることで@yahoo.comのメールアカウントを乗っ取れるといったもの。しかし、返信があったのは2件分のみで、感謝の言葉とともに25ドルの報奨金額が提示されたという。しかも報奨金は現金ではなく、YahooのTシャツなどノベルティー商品を販売するYahoo! Company Storeで使えるギフトクーポンのコードだったとのこと。そのため、High-Tech Bridgeでは、これ以上の調査を行わないことを決めたとのことだ。
(続く...)一方、この件について大量の苦情メールを受け取ったというYahooのRamses Martinez氏は、セキュリティーコミュニティーからバグ報告や脆弱性報告などを受けるチームの担当になった時には謝礼などの方法について何も決まっておらず、個人的に感謝の意を示すために自腹でTシャツを購入して送っていたと説明している。その後、Tシャツをすでに受け取った人も増えてきたため、ギフトクーポンに変更したそうだ。しかし今回の件もあり、脆弱性報告システムを改善するために準備していた新しい方針の適用を早めることにしたという。新しいシステムではTシャツではなく、内容によって150ドルから15,000ドルの報奨金が支払われることになるとのことだ(Yahoo! Developer Networkの記事、Graham Cluley Security Newsの記事、本家/.)。 スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ | Yahoo! | お金
関連ストーリー:
mixiが「賞金付き」の脆弱性報告制度を開始 2013年10月01日
EFF、 政府の監視からユーザを守ったとして米Yahooを表彰 2013年07月17日
米Yahoo!、利用されていないユーザーIDをリセットして再利用する方針に 2013年07月17日
「脆弱性に対する報奨金プログラム」は正規雇用よりも費用対効果が高い 2013年07月12日
Microsoft、バグ発見報奨金プログラム導入 2013年06月24日
Yahooは本当にカムバックできるのか? 2013年05月24日
17 歳の英少年、米 Yahoo に 28 億円でアプリを売却 2013年03月27日
米Yahooのマリッサ・メイヤーCEO、在宅勤務者が怠けていると判断するに至ったわけとは 2013年03月10日
米Yahoo!のマリッサ・メイヤーCEO、在宅勤務者に対して引っ越しまたは退職を迫る 2013年02月27日
WebKitの縦書きバグを修正して報奨金をもらおう? 2013年01月13日
Chromeに重大なゼロデイ脆弱性?発見者はGoogleに内容を伝えず 2012年11月23日
米Yahoo!、IE10のDo Not Trackを無視 2012年10月30日
「米Yahoo!は負け組」だから叩かれる? 2012年05月07日
Google、ハッキングコンペを開催。Chromeなどの脆弱性情報に賞金 2012年03月01日
Yahoo、600名をレイオフ。解雇者には各社からビールや職がオファーされる 2010年12月17日
Google、バグ発見者達に総額4000ドル以上の報奨金を支払う 2010年09月16日
Google Chrome のバグ発見者に賞金 1337 ドルを進呈 2010年03月24日
Yahooを沈黙させた少年クラッカー、その8年後 2008年10月15日
MS製品のバグ発見者に1万ドルの賞金 2006年02月17日