याहू एक क्रॉस-साइट स्क्रिप्टिंग भेद्यता के लिए यूएस$12.50 का भुगतान करता है जो ईमेल पते से समझौता कर सकता है। क्या इसका मतलब यह है कि यह सुरक्षा को गंभीरता से नहीं लेता है? आवश्यक रूप से नहीं।
यदि कोई व्यक्ति हमारे कार्यालय में आता है और मेरे लिए मेरे लेख लिखने की पेशकश करता है, तो मैं कुछ हद तक आभारी रहूंगा, अगर मुझे अपनी नौकरी की सुरक्षा की चिंता नहीं है। लेकिन अगर उसने फिर कंपनी से पैसे मांगना शुरू कर दिया, तो मुझे पूरा यकीन है और उम्मीद है कि उसे विनम्रतापूर्वक नियमित चैनलों के माध्यम से जाने और नौकरी के लिए आवेदन करने के लिए कहा जाएगा।
यह इस पर निर्भर करता है कि उद्योग कैसा चल रहा है, शायद मेरा नियोक्ता उसे एक फ्रीलांसर के रूप में रख सकता है, लेकिन यह देखते हुए कि उनके पास भुगतान के लिए संसाधन है (मुझे!) वे या तो उसके समय के लिए धन्यवाद देंगे और उसे आगे बढ़ने के लिए कहेंगे, या उससे कुछ दयनीय दर वसूल करेंगे ताकि इसे सार्थक बनाया जा सके। कंपनी।
मैं अपना काम किसी और से करवाने की कोशिश नहीं कर रहा हूं (जब तक कि मैंने इसे चीन या भारत को आउटसोर्स न किया हो), तो मैं आपको यह क्यों बता रहा हूं?
क्योंकि यह बिल्कुल वैसा ही होता है जब सुरक्षा शोधकर्ता कमजोरियाँ प्रस्तुत करते हैं और फिर जब उन्हें वेतन के बदले थोड़ा सा पैसा मिलता है तो वे क्रोधित हो जाते हैं।
सिस्को, आईबीएम, सिमेंटेक, ईएमसी और हुआवेई जैसी कंपनियों का नजरिया लीजिए। ये बड़ी कंपनियाँ हैं जिनका सुरक्षा में बड़ा निवेश हो सकता है यदि वे स्वयं सुरक्षा कंपनियाँ नहीं हैं। लेकिन वे सुरक्षा शोधकर्ताओं को भुगतान या मुआवजा भी नहीं देते हैं जो उन्हें कमजोरियों के प्रति सचेत करते हैं।
और उन्हें ऐसा क्यों करना चाहिए?
यदि वे पहले से ही एक सुरक्षा टीम में निवेश कर रहे हैं जिसका उद्देश्य इन मुद्दों को पकड़ना है, तो किसी और को भुगतान क्यों करें, खासकर जब इन स्थानों पर नौकरी पाना काफी कठिन हो? हां, इस मुद्दे पर एक और नज़र रखना अच्छा है, और हां, बाहरी लोगों की मदद की सराहना की जाती है, लेकिन इस काम को आउटसोर्स करना कोई अच्छा व्यावसायिक तर्क नहीं है।
जैसा कि कहा गया है, अधिकांश संगठन जिनके पास दिल है उन्हें एहसास होगा कि शोधकर्ता चाहे व्हाइटहैट, ग्रेहैट या ब्लूहैट हो (जैसा कि माइक्रोसॉफ्ट कहता है), वे जरूरी नहीं कि एक आर्सेहट हों। पहचान का एक शब्द, मेल में एक टी-शर्ट, एक अच्छे शब्दों वाला ईमेल अक्सर वह सब कुछ होता है जिसकी कुछ शोधकर्ता तलाश करते हैं। यह उस व्यक्ति को धन्यवाद देने और विनम्रतापूर्वक वापस लौटा दिए जाने के बराबर है।
जब याहू ने शोधकर्ताओं को भेजा हाईटेक ब्रिज दो क्रॉस-साइट स्क्रिप्टिंग कमजोरियों के लिए प्रत्येक के लिए US$12.50, मुझे नहीं लगता कि इसने कुछ भी गलत किया है। मैं औसत दर्जे की सराहना नहीं करने वाला हूं, लेकिन वे आईबीएम और उसके जैसी कंपनियों से कहीं अधिक काम कर रहे हैं।
लेकिन यह मानना गलत है कि याहू सोचता है कि क्रॉस-साइट स्क्रिप्टिंग भेद्यता केवल 12.50 अमेरिकी डॉलर के लायक है क्योंकि यह मानता है कि याहू की पूरी सुरक्षा पूरी तरह से स्वयंसेवकों की रिपोर्ट पर निर्भर करती है। यह वास्तव में मामला हो सकता है, अगर याहू को सुरक्षा की बिल्कुल भी परवाह नहीं है, लेकिन वास्तव में किसी को भी पता नहीं है कि याहू की अपनी सुरक्षा टीमों पर क्या होता है। ऐसा प्रतीत होता है कि यह एक बड़ी ग़लतफ़हमी है कि बग बाउंटी का आकार और उपस्थिति सुरक्षा के प्रति किसी संगठन के रवैये के समानुपाती होती है।
एक ओर, Etsy जैसे स्टार्टअप के पास एक समर्पित सुरक्षा टीम है और वह इनाम प्रदान करता है 500 अमेरिकी डॉलर से शुरू इसकी साइट, एपीआई और मोबाइल एप्लिकेशन पर - लगभग कहीं भी। दूसरी ओर, सैमसंग के पास 1000 अमेरिकी डॉलर का बग बाउंटी है, लेकिन यह सीमित है विशेष रूप से टेलीविजन सेटों के लिए पिछले दो वर्षों में लॉन्च किया गया - एक अत्यंत सीमित दायरा।
Etsy के पास स्पष्ट रूप से एक मजबूत सुरक्षा रुख है, भले ही इसका बग बाउंटी सैमसंग से कम हो, लेकिन ऐसा नहीं है यह बताना कि सैमसंग में क्या चल रहा है, या क्या सीमित दायरे का मतलब कुछ भी महत्वपूर्ण होगा की सूचना दी। लब्बोलुआब यह है कि समान पुरस्कारों के बावजूद, यह नहीं बताया जा सकता कि सैमसंग क्या सोच रहा है।
हालाँकि, हाई-टेक ब्रिज के शोधकर्ताओं ने सही काम किया जब उन्होंने यह जानने के बाद कि याहू बहुत कम भुगतान करता है, अपने शोध को रोकने का फैसला किया। यदि याहू सुरक्षा को लेकर गंभीर है और उसे शोधकर्ताओं की मदद की ज़रूरत नहीं है, तो समय बर्बाद करना उचित नहीं है। ऐसे कई और संगठन हैं जो शोधकर्ताओं को उनके समय के लिए अधिक भुगतान करने में प्रसन्न होंगे।
लेकिन अगर याहू सुरक्षा को लेकर गंभीर नहीं है और यह वास्तव में इतनी खराब स्थिति में है कि यह स्वैच्छिक रिपोर्टों पर निर्भर है, तो शायद सबसे अच्छी बात यह है कि कंपनी को दुर्घटनाग्रस्त होते और जलते हुए देखा जाए। वहाँ जंगल है और केवल सबसे शक्तिशाली लोग ही जीवित रहते हैं।
अद्यतन (अक्टूबर 10, 2012): याहू पैरानॉयड्स (इसके सुरक्षा प्रभाग) के निदेशक रामसेस मार्टिनेज जवाब दिया है, यह खुलासा करते हुए कि वह अक्सर अपनी जेब से 12.50 अमेरिकी डॉलर भेजते थे और यह कंपनी की आधिकारिक नीति नहीं थी। इसमें जल्द ही 150 अमेरिकी डॉलर और 15,000 अमेरिकी डॉलर के बीच पुरस्कारों के साथ एक आधिकारिक नीति लागू होगी, जो 1 जुलाई 2013 से लागू होगी।