1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Bash-Lücke: Server von Yahoo…

Bug Bounty-Programm

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Bug Bounty-Programm

    Autor: eizi 06.10.14 - 20:41

    Vorfälle wie dieser seien, so Yahoo, nicht Teil des Bug Bounty-Programms des Konzerns. Das führte auf Reddit zu einigen sarkastischen Kommentaren und den Verweis auf einen früheren Fall, bei dem ein Sicherheitsforscher von Yahoo einen 25-Dollar-Gutschein für die Entdeckung mehrerer kritischer Sicherheitslücken erhielt.


    Völlig zu Recht, das Ausnutzen einer bekannten nicht selbst entdeckten Sicherheitslücke kurz nach deren eigentlichen Veröffentlichung ist nun wirklich keine Leistung welche finanziell belohnt werden sollte. Diese sarkastischen Kommentare sind einfach am Ziel vorbeigeschossen.

  2. Re: Bug Bounty-Programm

    Autor: rofl022 06.10.14 - 21:23

    Aus meiner Sicht sollte das Yahoo dennoch etwas wert sein, andernfalls wären die kompromittierten Server wohl noch eine Zeit weiter gelaufen...

  3. Re: Bug Bounty-Programm

    Autor: das_mav 07.10.14 - 00:30

    Wenn die bei Yahoo selbst du berattert sind solche offenen Lücken zu schliessen bzw. Sie überhaupt zu erkennen, kann man gerne mal was springen lassen wenn das andere tun IMO.

    Wer dazu noch zu doof ist in einem extra dafür geschaffenen Programm zu lesen was andere arbeiten oder es gekonnt ignorieren gehört meiner Meinung nach sogar grobe Fahrlässigkeit mit dem Umgang von sensiblen Daten zugesprochen.

    Jedes Copypaste Kiddy hätte das probieren können - aber speziell geschulte, angelernte, studierte, bezahlte Mitarbeiter schaffen das nicht oder werden genau so ignoriert wie die "Freiwilligen Helfer"?
    Schuldig.

  4. Re: Bug Bounty-Programm

    Autor: Leguk 07.10.14 - 09:22

    eizi schrieb:
    --------------------------------------------------------------------------------
    > Vorfälle wie dieser seien, so Yahoo, nicht Teil des Bug Bounty-Programms
    > des Konzerns. Das führte auf Reddit zu einigen sarkastischen Kommentaren
    > und den Verweis auf einen früheren Fall, bei dem ein Sicherheitsforscher
    > von Yahoo einen 25-Dollar-Gutschein für die Entdeckung mehrerer kritischer
    > Sicherheitslücken erhielt.
    >
    > Völlig zu Recht, das Ausnutzen einer bekannten nicht selbst entdeckten
    > Sicherheitslücke kurz nach deren eigentlichen Veröffentlichung ist nun
    > wirklich keine Leistung welche finanziell belohnt werden sollte. Diese
    > sarkastischen Kommentare sind einfach am Ziel vorbeigeschossen.

    Hallo,

    Das mit diesem 25 Dollar Gutschein ist ja glaube ich nur eine Art Verarschung gewesen. Weil für Lückenfindung ist normalerweise ein höherer Preis angesetzt. Kommt immer drauf an wie hoch der schaden wäre wenn das Kriminelle ausgenutzt hätten.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Consultant Backup (m/w/d)
    ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. IT-Projektassistent (m/w/d)
    MACHEREY-NAGEL GmbH & Co. KG, Düren
  3. IT-Traineeprogramm (m/w/d)
    Versicherungskammer Bayern Versicherungsanstalt des öffentlichen Rechts, München
  4. Country Manager (m/f/d)
    Lidl Digital, Neckarsulm

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Lego Star Wars: Die Skywalker Saga, The Quarry, Sonic Frontiers)
  2. (wechselnde Angebote)
  3. 15,99€ (-30%)
  4. (basierend auf Anzahl der Bestellungen, stündlich aktualisiert)


Haben wir etwas übersehen?

E-Mail an news@golem.de