Yahoo оценило безопасность всех своих пользователей в 12 долларов и 50 центов

30 Сентябрь, 2013, Женева — High-Tech Bridge SA  | 239
Интернет 

Версия для печати | Отправить @mail | PDF | Метки | http://b2b.vc/172159

На сегодняшний день все больше компаний вводят программы вознаграждения для экспертов по безопасности. Нередко механизм работы подобных программ вызывает споры и даже судебные иски – в качестве примера можно привести недавний инцидент с Facebook, когда хакер так и не смог получить вознаграждение от социальной сети.

Специалисты High-Tech Bridge решили провести серию экспериментов с компанией Yahoo, которая, по ее словам, следует лучшим политикам ИБ и поощряет разработчиков в том, чтобы они искали бреши в ее продуктах. Yahoo является менее популярной, чем Facebook и Google, при этом она также обрабатывает информацию миллионов пользователей, поэтому исследователи решили установить, как легко можно обнаружить уязвимость в продуктах подобной компании, а также, как быстро наступит реакция разработчиков.

На обнаружение первой XSS-уязвимости исследователям потребовалось всего 45 минут и браузер Firefox. Это была классическая отраженная уязвимость межсайтового скриптинга на странице marketingsolutions.yahoo.com. Эксперты сообщили Yahoo об обнаруженной бреши, на что пришел скорый ответ: «К сожалению, данная заявка не квалифицируется на вознаграждение, так как она уже была подана другим человеком. Пожалуйста, продолжайте присылать данные обо всех уязвимостях, которые вы обнаружите в дальнейшем». При этом никаких доказательств того, что уязвимость была ранее обнаружена кем то другим, предоставлено не было.

На этом исследователи не остановились, и продолжили свои поиски. В течение нескольких дней Yahoo Security Team получила данные о еще 3 XSS-уязвимостях, которые находятся на страницах ecom.yahoo.com и adserver.yahoo.com domains. Для эксплуатации уязвимости требовалось всего лишь отправить авторизованному пользователю ящика @yahoo.com специально сформированную ссылку.

На этот раз ответа Yahoo пришлось ждать 48 часов, причем администрация сердечно отблагодарила исследователей и предложила им вознаграждение в $12,5 за каждую уязвимость. Вознаграждение можно забрать только в качестве кода для скидки на Yahoo Company Store в котором продаются футболки, кружки, ручки и другие сувениры с символикой Yahoo.

На момент публикации новости все 4 XSS-уязвимости на сайте Yahoo были исправлены. С уведомлением High-Tech Bridge можно ознакомиться здесь.

По материалам Forbes, глава Yahoo Марисса Майер купила самый дорогой дом в Сан-Франциско: http://www.forbes.ru/news/244396-marissa-maier-kupila-samyi-dorogoi-dom-v-san-frantsisko

• ImmuniWeb®: SaaS решение нового поколения для аудита веб приложений, 31 Май, 2013 2013-05-31 11:18:00 Швейцария, Женева
• На свое пятилетие High-Tech Bridge приоткрывает завесу тайны ImmuniWeb®, 12 Декабрь, 2012 2012-12-12 11:40:00 Швейцария, Женева
• Frost & Sullivan: Организации должны проводить тесты на проникновение, 25 Апрель, 2012 2012-04-25 12:00:00 Швейцария, Женева
• Илья Колошенко – этичный швейцарский хакер, 7 Сентябрь, 2011 2011-09-07 13:50:00 Швейцария, Женева

• Международный круглый стол «Дети мира – за здоровое питание» пройдёт в Москве, 1 Октябрь, 2013
• Фотограф журнала National Geographic Рауль Тузон (Raul Touzon) делится опытом со студентами Одесской школы фотографии, 1 Октябрь, 2013
• Премьера фильма Марка Хендриксона Colossus в Москве, 1 Октябрь, 2013
• Группа компаний Астарта открывает первый интернет-магазин по обустройству офисов «под ключ», 1 Октябрь, 2013
• ФлексБанк дарит вкладчикам сертификаты сети салонов оптики «Очкарик», 1 Октябрь, 2013