Udtalelse: Det er til debat, om belønningen trods alt var det værd.
[Opdatering 18.54GMT: Opdateret med afklaring.]
Yahoo har betalt $2.000 som en belønning til sikkerhedsforskeren, der afslørede tilstedeværelsen af ImageMagick-sårbarheden i et Yahoo-ejet virksomhedsdomæne.
Ifølge Security Week, var ImageMagick-sårbarheden til stede på Polyvore, en samfundsbaseret social handelsplatform købt af Yahoo sidste år.
Sikkerhedsfejlen, CVE-2016-3714, er blevet døbt "ImageTragick" af forskere. Fundet i open source-softwaren ImageMagick, et vigtigt bibliotek, der bruges til billedbehandling og uploads på tværs af nettet, er sårbarheden kan udnyttes at narre programmet til at køre ondsindet kode.
Hvis en hacker uploader en ondsindet fil forklædt som et billede, kan de muligvis kapre websteder, levere malware og stjæle oplysninger.
Da ImageMagick bruges på tværs af utallige websteder, er sværhedsgraden af virkningen af fejlen høj.
Cloudflare-forskere sagde i denne uge Cyberangribere springer allerede på ImageTragick-vognen, samler sårbarheden i udnyttelsessæt og bruger CVE-2016-3714 i målrettede angreb mod specifikke domæner.
I Yahoos tilfælde er virksomheden også blevet fanget på fladfodet.
Sikkerhedsforsker Behrouz Sadeghipour opdagede, at sårbarheden var til stede i webdomænet tilhørende Polyvore, som for nylig blev tilføjet til Yahoos bug bounty-program.
Efter at have underrettet Yahoo den 4. maj og overdraget et proof-of-concept (PoC) eksempel til teknologigiganten som bevis, blev sårbarheden rettet i løbet af få timer.
Sadeghipour blev derefter tildelt 2.000 dollars for sin indsats, men forskeren mener, at belønningen på grund af problemets omfang burde have været højere.
Yahoo tilbyder op til $15.000 for højrisikosårbarheder indsendt af forskere. Dette er en interessant sag, da fejlen allerede var offentliggjort og blev opdaget af en anden sikkerhedsekspert, men du kan ikke ignorere den potentielt store indvirkning af fejlen.
Sikkerhed
- 8 vaner hos yderst sikre fjernarbejdere
- Sådan finder og fjerner du spyware fra din telefon
- De bedste VPN-tjenester: Hvordan sammenligner top 5?
- Sådan finder du ud af, om du er involveret i et databrud – og hvad du skal gøre nu
Når først ét system er blevet kapret, kunne dette have ført en angriber mod Yahoos hoveddomæner afhængigt af infrastrukturen og om følsomme data - såsom legitimationsoplysninger på tværs af websteder - var stjålet.
Yahoo siger, at belønningen var baseret på en række parametre, herunder "dybden og virkningen" af fejlen.
Webmastere, der bruger ImageMagick bør opdatere deres software til den seneste udgivelse.
Mens Yahoo nok engang tilbød dårlige bug-bounty-belønninger - for eksempel i 2013, tech-firmaet gav en værdikupon på $25 til et par forskere for at afsløre scriptsårbarheder på tværs af websteder, der påvirker to Yahoo-domæner, er der nu overstået 2.000 forskere bidrager til teknologigigantens HackerOne-baserede bug bounty-program, og over 1,6 millioner dollars er blevet udbetalt til dato.
ZDNet har kontaktet Yahoo og vil opdatere, hvis vi hører tilbage.
Gem min smartphone: Sådan genopliver du din våde iPhone og andre håndsæt
Læs videre: Topvalg
- Apple går på serversiden for at rette Siri-låseskærmens bypass-sikkerhedsfejl
- Bug bounties: Hvilke virksomheder tilbyder forskerne kontanter?
- Cyberangribere fejler integration af Adobe Flash zero-day sårbarhed i udnyttelsessæt
- Mød virksomheden, der ønsker at stoppe pirater med at bruge nettet, indtil de betaler