O Yahoo vai começar a pagar pelo menos US$ 150 para pesquisadores de segurança que descobrirem falhas em seus sites e serviços. depois de ser fortemente criticado por pagar apenas US$ 12,50 em crédito na loja por uma vulnerabilidade relatada recentemente.
No início desta semana, a empresa de segurança High-Tech Bridge reclamou que recebeu um voucher para a loja do Yahoo no valor de US$ 12,50. cada falha relatada à empresa – uma recompensa insignificante em comparação com as centenas e milhares oferecidas pelo Facebook e Google.
O diretor de segurança do Yahoo, Ramses Martinez, admitiu que foi “o cara que enviou a camiseta”, referindo-se a a prática informal anterior da empresa de oferecer uma camiseta grátis como um gesto de gratidão pelo bug relatórios.
“Não era uma política, apenas pensei que seria bom fazer algo além de um e-mail. Até comprei as camisas com meu próprio dinheiro”, disse. “Não se tratava de dinheiro, apenas um gesto pessoal em meu nome. Em algum momento, algumas pessoas mencionaram que já tinham uma camiseta minha, então comecei a comprar um vale-presente para que pudessem ganhar outro presente de sua escolha.”
Não era uma política, apenas pensei que seria bom fazer algo além de um e-mail
Martinez também disse que os pesquisadores de segurança podem pedir uma carta para mostrar ao seu chefe ou clientes – que ele mesmo escreveu.
No entanto, mesmo antes da reclamação da High-Tech Bridge, Martinez disse que o Yahoo sabia que precisava atualizar o forma como recompensa os pesquisadores – e, convenientemente, tinha o novo sistema pronto para funcionar conforme a polêmica quebrado.
“Este mês a equipa de segurança estava a dar os últimos retoques no programa revisto. E então ontem de manhã bateu o ‘gate-camiseta’”, disse ele. “Minha caixa de entrada estava cheia de e-mails furiosos de pessoas de dentro e de fora do Yahoo.”
Para responder às reclamações, o Yahoo acelerou o lançamento do programa, que apresenta um novo site de relatórios, soluções mais rápidas para vulnerabilidades e melhor reconhecimento para os investigadores. Isso envolverá uma carta do Yahoo, possível inclusão em um novo “hall da fama” público e recompensas entre US$ 150 e US$ 15 mil por falhas graves.
Esses pagamentos serão retroativos a 1º de julho de 2013, portanto, todos os pesquisadores cujos relatórios se qualificarem serão pagos – além de manterem suas camisetas. “Isso inclui, é claro, uma verificação para os pesquisadores da High-Tech Bridge que não gostaram da minha camiseta”, acrescentou.
