Mentre Microsoft e Google mettono in palio decine di migliaia di dollari per ricompensare gli sforzi dei cosiddetti bug hunter , un’azienda del calibro di Yahoo! sembra molto meno generosa. Stando a una ricerca condotta dagli esperti di High-Tech Bridge , la segnalazione delle più disparate vulnerabilità tra i domini in viola – in particolare di tipo XSS – non è stata seguita da una taglia all’altezza del prezioso lavoro di sicurezza informatica.
Dalla scoperta di tre inedite vulnerabilità XSS tra le proprietà digitali ecom.yahoo.com e adserver.yahoo.com , l’azienda di Sunnyvale ha impiegato circa 48 ore per rispondere agli analisti di High-Tech Bridge , partendo dai classici ringraziamenti di circostanza.
La cifra offerta da Yahoo! per un singolo baco ha destato più di una perplessità: 12,50 dollari (poco più di 9 euro) da spendere solo sul company store , che vende online accessori griffati come tazze, magliette e penne. Il buono assegnato ai ricercatori permette ad esempio di comprare un versatile kit di accessori mobile. Con 10 cent di resto.
Ilia Kolochenko, CEO di High-Tech Bridge , è decisamente convinto che l’azienda californiana dovrebbe rivedere i termini dei propri rapporti con la comunità degli esperti in sicurezza informatica o cacciatori di bug. Taglie così basse non incoraggerebbero affatto la segnalazione delle vulnerabilità, che potrebbero essere tranquillamente vendute al mercato nero a prezzi molto più interessanti di quelli offerti da Yahoo! nei buoni per l’acquisto delle sue tazze. ( M.V. )