Yahoo palkitsi merkittävän tietoturva-aukon löytäjät kympin lahjakorteilla Yahoo-kauppaan

Esimerkiksi Google on tunnettu siitä, että oman työpanoksensa lisäksi se palkitsee ulkopuolisia ihmisiä vikojen löytämisestä tuotteistaan. Summien uutisoidaan usein nousevan tuhansiin ja jopa kymmeniin tuhansiin dollareihin per löydetty ongelma.

Yahoo ei tunnu arvostavan yhtiön ulkopuolisten tutkijoiden panosta aivan niin paljoa kuin voisi olla viisasta, kirjoittaa tietoturva-analyytikko Graham Cluley. High-Tech Bridgen tutkijaryhmä ilmoitti Yahoolle syyskuussa vakavista puutteista useammassa sen omistamassa domainissa. Löydettyjen aukkojen myötä periaatteessa kaikki yhtiön @yahoo.com-loppuiset sähköpostiosoitteet olivat vaarassa. Aukkoja saattoi hyödyntää, mikäli osoitteen käyttäjä klikkasi sähköpostilla lähetettyä haitallista linkkiä.

Kaksi vuorokautta ilmoituksen jälkeen ryhmä sai kiitoksen löydöstään ja palkinnoksi 12,5 dollarin (vajaan kymmenen euron) arvoiset lahjakortit (per löydetty haavoittuvuus) Yahoon nettikauppaan, jossa myydään muun muassa yhtiön logolla varustettuja t-paitoja.

- Jos Yahoolla ei itsellään ole varaa panostaa palveluidensa tietoturvaan, niin sen pitäisi ainakin yrittää houkutella muiden tietoturva-asiantuntijoiden apua. Muutoin yhtiön asiakkaat eivät voi tuntea oloaan turvalliseksi, kommentoi High-Tech Bridgen toimitusjohtaja Ilia Kolochenko.

Yahoo on korjannut löydetyt aukot. High-Tech Bridge ei enää aio käyttää resursseja yhtiön tietoturvan tutkimiseen.

• tietoturva
• tietoturva-aukko
• haavoittuvuus
• tutkimus
• Yahoo