Yahoo inizierà a pagare almeno 150 dollari ai ricercatori di sicurezza che scoprono difetti nei suoi siti Web e servizi, dopo essere stato pesantemente criticato per aver pagato solo $ 12,50 in credito negozio per una vulnerabilità segnalata di recente.
All'inizio di questa settimana, la società di sicurezza High-Tech Bridge si è lamentata del fatto che le era stato inviato un buono per il negozio Yahoo del valore di $ 12,50 per ogni difetto segnalato all'azienda: una ricompensa irrisoria rispetto alle centinaia e migliaia offerte da Facebook e Google.
Il direttore della sicurezza di Yahoo, Ramses Martinez, ha ammesso di essere stato "il ragazzo che ha inviato la maglietta", riferendosi a la precedente pratica informale dell’azienda di offrire una maglietta gratuita come gesto di gratitudine per il bug rapporti.
“Non era una politica, ho solo pensato che sarebbe stato carino fare qualcosa oltre un’e-mail. Ho anche comprato le magliette con i miei soldi", ha detto. “Non era una questione di soldi, solo un gesto personale da parte mia. Ad un certo punto, alcune persone hanno detto che avevano già una mia maglietta, quindi ho iniziato ad acquistare un buono regalo in modo che potessero ricevere un altro regalo a loro scelta.
Non era una politica, ho solo pensato che sarebbe stato carino fare qualcosa oltre un’e-mail
Martinez ha anche detto che i ricercatori sulla sicurezza potrebbero chiedere una lettera da mostrare al loro capo o ai clienti, cosa che ha scritto lui stesso.
Tuttavia, anche prima della denuncia dell'High-Tech Bridge, Martinez ha affermato che Yahoo sapeva di dover aggiornare il modo in cui premia i ricercatori – e, opportunamente, aveva il nuovo sistema pronto per affrontare la controversia rotto.
“Questo mese il team di sicurezza ha dato gli ultimi ritocchi al programma rivisto. E poi ieri mattina c’è stato il successo del ‘T-shirt-gate’”, ha detto. "La mia casella di posta era piena di email arrabbiate provenienti da persone dentro e fuori Yahoo."
Per rispondere ai reclami, Yahoo ha accelerato il lancio del programma, che prevede un nuovo sito Web di segnalazione, soluzioni più rapide per le vulnerabilità e un migliore riconoscimento per i ricercatori. Ciò comporterà una lettera da parte di Yahoo, la possibile inclusione in una nuova "hall of fame" pubblica e premi per bug compresi tra $ 150 e $ 15.000 per difetti gravi.
Tali pagamenti verranno retrodatati al 1 luglio 2013, quindi tutti i ricercatori i cui rapporti saranno idonei verranno pagati, oltre a trattenere la loro maglietta. "Ciò include, ovviamente, un assegno per i ricercatori dell'High-Tech Bridge a cui non è piaciuta la mia maglietta", ha aggiunto.
