De beloning voor het vinden van beveiligingslekken bij Yahoo heeft Zwitserse securityexperts verbaasd. Na het ontdekken van meerdere XSS-gaten (Cross Site Scripting) in Yahoo’s maildienst kregen zij tot hun verbazing een waardebon van 12,50 dollar, die alleen besteed kan worden bij de Amerikaanse internetbedrijf zelf. Techbedrijven staan de laatste jaren juist bekend om de steeds grotere beloningen die zij uitkeren voor het vinden van kwetsbaarheden.

In een blogpost doen de beveiligingsonderzoekers van High-Tech Bridge hun beklag. In een voorop opgezet experiment om te zien hoe snel bedrijven reageren op gevonden bugs kozen zij voor Yahoo, dat vinders aanmoedigt om gevonden gaten te melden. Na het vinden van een eerste “klassieke” XSS-kwetsbaarheid in het domein marketingsolutions.yahoo.com meldden zij deze aan bij het Yahoo Security Team.

Sleutelhanger?

Al binnen 45 minuten volgde een reactie. “Helaas komt deze indiening niet in aanmerking voor een beloning omdat deze al is gemeld door een ander individu. Blijf alsjeblieft meer gevonden kwetsbaarheden in sturen in de toekomst”, luidde deze, volgens de ontvangers zonder bewijs dat de bug inderdaad al gemeld was. Dit moedigde hen aan om door te zetten.

Vervolgens vonden zij nog drie XSS-kwetsbaarheden in de ecom.yahoo.com en adserver.yahoo.com domeinen waardoor een Yahoo-mailaccount kan worden gecompromitteerd na het klikken op een kwaadaardige link in een toegestuurde e-mail. Ditmaal duurde het 48 uur totdat er een antwoord van Yahoo kwam.

Eén van de kwetsbaarheden Yahoo toont gebruikerscookies: Klik voor groot

Voor het vinden van twee gevonden XSS-kwetsbaarheden werden zij vriendelijk bedankt. De uitgekeerde beloning bestond uit 12,50 dollar per gat en is uitgekeerd in de vorm van een voucher met kortingscode die alleen besteed kan worden bij de Yahoo Company Store, waar Yahoo voor dat bedrag onder meer t-shirts, sleutelhangers en pennen verkoopt.

Klik voor groot

Geen motivatie

“Het betalen van enkele dollars per kwetsbaarheid is een slechte grap en zal mensen niet motiveren om beveiligingsgaten te melden, zeker wanneer deze voor een hoger bedrag kunnen worden verkocht aan de zwarte markt”, schrijft één van de onderzoekers.

“Toch is geld niet de enige motivatie voor researchers. Dat is waarom bedrijven als Google een Hall of Fame [met naam en toenaam -red] heeft, waarin aanmelden publiciteit krijgen. Als Yahoo geen geld heeft voor bedrijfsbeveiliging moet het in ieder geval op een andere manier aantrekkelijk proberen te zijn.” Volgens de onderzoekers heeft Yahoo alle vier de XSS-kwetsbaarheden inmiddels gepatcht.