mixi、脆弱性報告制度における報酬支払いを渋る?
2014年5月14日 19:05
あるAnonymous Coward 曰く、 MicrosoftやGoogleなどの海外大手企業では、ネットサービスやソフトウェアなどの脆弱性の発見者に対し報奨金を進呈する制度がある。これを見習ってmixiも同様の制度を昨年期間限定で行ったのだが(過去記事)、脆弱性を報告した際のmixiの報酬支払いが「渋い」ことが告発されている(mixiの脆弱性報告制度について)。
これによると、このブログ主は合計で14件の脆弱性を発見したのだが、そのうち報酬が支払われたのは4件。「他人のデータを閲覧・改ざんできる問題」については脆弱性ではない、もしくは軽微な脆弱性と判断され報酬が支払われなかったほか、SQLやXSSなど、原因が同じ脆弱性については1つにまとめられてしまったそうだ。これに対し、ブログ主は
「性質」が「同種」の場合にまとめて1件としてカウントするということだが、機能やパラメータの異なるSQLの脆弱性をすべてまとめて1件とカウントして報酬を渋るミクシィセキュリティチームの対応はおかしいのではないか
脆弱性ではない、もしくは軽微と判断して報酬を支払わないのであれば脆弱性は修正せず、放置しておくべきだろう。報酬も支払わずに脆弱性を修正する態度は、脆弱性を発見した人に対して失礼である
と苦言を呈している。
とはいえこれはブログ主の一方的な主張であるため、mixi側の見解も知りたいところである。Googleなどは寄せられた脆弱性を修正した際、報告者と支払った報酬を公開しているが、mixiにもこれに習って寄せられた脆弱性の内容や支払った報酬を公開してほしいところだ。
スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ
関連ストーリー:
mixiが運営するサイトで重大な脆弱性が発見されるも「既知の脆弱性である」として賞金は無しに 2014年04月17日
mixi、通期でも赤字に 2013年10月02日
mixiが「賞金付き」の脆弱性報告制度を開始 2013年10月01日