Noticias

Yahoo paga por dos vulnerabilidades con un vale de 25 dólares

La falta de valoración de Yahoo hacia los hackers que le alertan sobre las vulnerabilidades en sus sistemas está dando a la empresa una mala reputación entre los miembros de la comunidad de Internet. La semana pasada, un grupo de hackers se quejó, indignado, de que la empresa le había ofrecido una recompensa de sólo 12,50 $ por vulnerabilidades que permitían que terceras personas obtuvieran el control de las cuentas de correo de sus usuarios.

Los expertos en seguridad de la empresa de seguridad sueca High-Tech Bridge habían encontrado cuatro vulnerabilidades XSS que “permitían que cualquier cuenta de correos @yahoo.com se comprometiera con solo enviar un enlace especial a un usuario conectado de Yahoo! y convencerlo de que pulse en él”.

Los hackers denunciaron las fallas a la empresa, pero no recibieron la respuesta que esperaban. Como recompensa por su esfuerzo, Yahoo les envió un vale de compra de 25 dólares por dos de las vulnerabilidades denunciadas. El vale sólo es válido para los productos de la tienda de Yahoo, que vende cosas como tazas y sombreros con el logo de la empresa.

La tercera vulnerabilidad no recibió ninguna recompensa porque la compañía dijo que otra persona ya la había denunciado, y los expertos no recibieron ninguna respuesta sobre la cuarta vulnerabilidad.

Esto pone a Yahoo muy por debajo de sus principales competidores, como Google y Facebook, que ofrecen recompensas de miles de dólares por las vulnerabilidades que se descubren en sus sistemas, o han implementado un “paseo de la fama” en el que muestran los nombres de las personas que denunciaron las fallas.

Esto sirve como motivación para que los hackers les entreguen la valiosa información sobre las vulnerabilidades en vez de venderla en el mercado negro para que los cibercriminales las exploten.

“Si Yahoo no puede invertir dinero en la seguridad de su compañía, por lo menos debería tratar de atraer a los investigadores de seguridad de otras maneras. Si no, ningún cliente de Yahoo jamás podrá sentirse a salvo”, opinó la Directora Ejecutiva de High-Tech Bridge, Ilia Kolochenko.

Fuentes:

Yahoo! Pays! Paltry! $12.50! Bug! Bounty! For! Nasty! Email! Vuln! The Register
Researchers find critical vulnerabilities in Yahoo’s site, offered $12.50 per bug Geek Wire
Yahoo slammed for paltry $12.50 reward vouchers for security flaw finds V3.co.uk

Yahoo paga por dos vulnerabilidades con un vale de 25 dólares

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada