Een aantal Zwitserse beveiligingsexperts stonden verbaasd van de beloning die ze kregen voor het vinden van lekken in de e-mailbeveiliging van Yahoo. Na het opsporen van een aantal zogenaamde XSS-gaten, omvangrijke beveiligingslekken die nadelig kunnen zijn voor gebruikers van Yahoo Mail, kregen ze een magere beloning. Dit is opvallend, aangezien technologiebedrijven er de laatste jaren juist om bekend staan grote beloningen uit de keren aan internetters die beveiligingslekken opsporen.
Aangemoedigd
De experts van het bedrijf High-Tech Bridge uitten zich op internet behoorlijk negatief over de regeling van Yahoo. De onderzoekers zetten onlangs een experiment op om te zien hoe snel bedrijven reageren op gevonden bugs. Ze kozen voor Yahoo, omdat dit bedrijf gebruikers aanmoedigt om gevonden lekken te melden. Na het vinden van het eerste lek kregen ze echter de melding dat deze al was aangemeld.
Sleutelhangers
Vervolgens vonden de experts nog een drietal XSS-kwetsbaarheden die negatieve gevolgen kunnen hebben voor gebruikers van Yahoo’s e-maildienst. Na twee dagen reageerde Yahoo en bedankte de experts voor hun moeite. Daarnaast kregen ze een voucher van 12,50 dollar die gebruikt kan worden bij de Yahoo Company Store. Hier worden onder meer sleutelhangers en T-shirts verkocht.
‘Slechte grap’
Eén van de onderzoekers noemt de ‘beloning’ van Yahoo “een slechte grap”. “Dit motiveert mensen niet om beveiligingslekken te melden. Voor een hoger bedrag kunnen zij deze namelijk nog beter doorverkopen aan de zwarte markt.” Internetbedrijf Google biedt niet alleen geld, maar ook een plaatsje in de Google Hall of Fame voor vinders van beveiligingslekken. “Het moet op de een of andere manier aantrekkelijk zijn om dit soort lekken te melden en wat Google doet, is daar een goed voorbeeld van”, aldus de onderzoeker. Yahoo heeft de vier kwetsbaarheden inmiddels aangepakt.
