現在越來越多的公司在提供「偵錯獎金獵人計畫」,簡而言之,就是對任何回報該公司的軟體程式漏洞或缺陷的安全性研究者提供獎金。但近期,對於 Facebook 的獎金獵人計畫的批評以及許多其他公司與研究者所產生的誤會卻成了媒體關注的焦點。
- Yahoo 被 Hacker 發現獎勵制度不透明
於是,外國媒體 High-Tech bridge 決定針對 Yahoo 做個小小的測試。Yahoo 採取該產業的最佳實踐方法,鼓勵安全性研究者回報他們所發現的服務漏洞:「如果你屬於安全性社群的一員並且需要回報一個技術漏洞,請聯絡:[email protected]」。
據評估,Yahoo 的知名度大約僅次於 Facebook 與 Google,且仍然經手上百萬使用者的敏感資訊,應該是該實驗的最佳標的。這次實驗的目標很簡單:瞭解知名網站(如 Yahoo)上的技術漏洞有多快被發現,並檢視該公司對於漏洞回報的反應如何。
Yahoo 沒提出漏洞被回報過的證據
該研究從 2013 年 9 月 18 號開始,唯一的武器是火狐瀏覽器。令人驚訝的是,第一個 XSS 漏洞在 45 分鐘以內便找到,是一個影響 marketingsolutions.yahoo.com 網域的典型反射性漏洞,並且立刻被回報給 Yahoo 安全性小組。
令他們不得不承認的是 Yahoo 的反應速度,研究小組在 24 小時內便接獲了回覆。然而這項回覆卻相當令人沮喪:「不幸的是,由於該漏洞已有他人回報,因此這項偵錯回報無法取得獎金資格。如未來有發現任何其他漏洞請繼續回報給我們。」很顯然的,這份回應並未提出任何這項漏洞已經被回報過的證據。
第二次 Yahoo 提供每個漏洞「 12.5 美金」的報酬
然而基於想知道 Yahoo 對其他偵錯回報反應如何的好奇心,研究小組持續搜索到 9 月 22 日(周日)傍晚。在週一以前,Yahoo 安全性小組被告知了另外三項影響 ecom.yahoo.com 與 adserver.yahoo.com 的 XSS 漏洞。
每一項研究小組所發現的漏洞都讓任何 @yahoo.com 的電子信箱能輕易的被駭進去,只需要寄出一個特製的連結並讓一個登入的 Yahoo 使用者點按進去即可。
這一回,Yhaoo 花了 48 小時回覆影響 adserver.yahoo.com 的兩個 XSS 漏洞。Yahoo 親切的感謝研究小組回報錯誤,並提供每個漏洞 12.5 美元的報酬。該媒體在這裡特別強調 —— 是「十二點五美元」。更甚者,這個金額是透過只能在 Yahoo 公司商店使用的折扣代碼發送,這家商店賣的是 Yahoo 公司的 T-shirt、杯子、筆和其他紀念品。
於是研究小組決定就在此打住。
- Yahoo 應該給予安全研究者的更有價值的回饋
Hight-Tech Bridge 總裁 Ilia Kolochenko 說:「Yahoo 或許該重新調整他與安全性研究者的關係。每個漏洞只付幾塊錢是個差勁的笑話!而且不會讓大家想要回報漏洞給他們,特別是當這些漏洞可以輕易的在黑市裡賣到遠遠更高的價錢。
更重要的是,金錢也不是唯一可以促使安全性研究者的動機,這就是為什麼 Google 會在提供(一個更高的)財務獎勵的同時打出自尊牌 —— 設立一個『名人堂』,公開列出所有曾回報漏洞的人士。如果 Yahoo 付不出錢來支持它的安全性,它至少應該試著用其他方式吸引安全性研究者。要不然,沒有半個 Yahoo 的顧客會感到安全。」
Open Security Foundation 的會長 Brian Martin 針對該研究表示:「懸賞漏洞不是什麼新鮮事。最近越來越多的企業開始使用這種方式並且欣賞它為該組織所帶來的價值,特別是對他們的顧客而言。
就連過去最抵抗偵錯賞金獵人計畫的微軟,都開始瞭解它的價值並且更一步超前,對任何能繞過他們的安全機制的漏洞提供上限 $100,000 美元的賞金。其他公司也應該跟上他們的腳步並瞭解到一些小東西如『名人堂』、購物金、或一些微薄的現金對於調查公司根本沒什麼實質的幫助。他們願意為上千顧客的安全性付給調查公司的錢,有時連請一個清潔工都不夠。」
在這篇文章在 9 月 30 日於 High-Tech Bridge 發佈的時候,所有四個 XSS 漏洞都已經被 Yahoo 修補完成。
- 10 月 2 日 Yahoo 緊急改變計劃
Yahoo 目前緊急更新了它的賞金計畫:「所以與其再花更多時間等待,我們決定提早更新我們的漏洞懸賞政策。」這個新的政策有我個主要範圍:改善回報、改善驗證、改善整治、推行「名人堂」,並且獎金支付範圍為 $150-$15,000 美元。這項新政策還未完全定案,並且此方案將於 10 月 31 日開始正式推行。
(資料來源:HIGH-TECH BRIDGE;圖片來源: Liedman,CC Licensed)
Source: techorange.com
