Yahoo kpi z osób dbających o bezpieczeństwo ich klientów

Jakiś czas temu w Sieci głośno było o podobnej aferze z udziałem Facebooka. Gigant nie chciał wtedy wypłacić nagrody finansowej dla osoby odpowiedzialnej za wykrycie dość istotnej w zabezpieczeniach portalu luki. Szerzej o sprawie pisaliśmy zresztątutaj. Tym razem na identyczny krok zdecydowało się… Yahoo. Przyznaną nagrodę można bowiem tak traktować, jakby jej nie było.

Zabezpieczeniom Yahoo postanowiła przyjrzeć się firma High-Tech Bridge. Niestety, testy nie wypadły zbyt pomyślnie – praktycznie natychmiast odnaleziono lukę XSS, umożliwiającą osadzenie w witrynie złośliwego kodu i uzyskanie dostępu do danych. Co ciekawe, później takich luk odnaleziono jeszcze… trzy – rzecz jasna każda w innej, należącej do Yahoo domenie. Wszystkie błędy w zabezpieczeniach zgłoszono.

Reakcja Yahoo? Pierwsze zgłoszenie zostało odrzucone, ponieważ ktoś zauważył je wcześniej niż Hih-Tech Bridge. Oczywiście nie ma w tym nic dziwnego i raczej można to zaakceptować. Podobnie jeszcze jak fakt, że kolejnej luki nie uznano. Sprawa nabiera jednak „smaczku” w wypadku dwóch ostatnich błędów. Te bowiem uznano za prawdziwe i przyznano nagrodę w wysokości… 12,5 dolara za każdy z nich. Żeby jednak było ciekawiej, kwota została zaoferowana w postaci bonów zniżkowych na usługi Yahoo (np. sklep).

Ciężko nie nazwać tego inaczej, jak po prostu kpiną. Nagroda w wysokości 12,5 dolara za odnalezienie tak poważnych błędów w zabezpieczeniach oznacza, że Yahoo pracę wykonywaną dla poprawy swoich usług traktuje po prostu jak… wolontariat.

Źródło: High-Tech Bridge,