News

Yahoo paga por dos vulnerabilidades con un vale de 25 dólares

La falta de valoración de Yahoo hacia los hackers que le alertan sobre las vulnerabilidades en sus sistemas está dando a la empresa una mala reputación entre los miembros de la comunidad de Internet. La semana pasada, un grupo de hackers se quejó, indignado, de que la empresa le había ofrecido una recompensa de sólo 12,50 $ por vulnerabilidades que permitían que terceras personas obtuvieran el control de las cuentas de correo de sus usuarios.

Los expertos en seguridad de la empresa de seguridad sueca High-Tech Bridge habían encontrado cuatro vulnerabilidades XSS que “permitían que cualquier cuenta de correos @yahoo.com se comprometiera con solo enviar un enlace especial a un usuario conectado de Yahoo! y convencerlo de que pulse en él”.

Los hackers denunciaron las fallas a la empresa, pero no recibieron la respuesta que esperaban. Como recompensa por su esfuerzo, Yahoo les envió un vale de compra de 25 dólares por dos de las vulnerabilidades denunciadas. El vale sólo es válido para los productos de la tienda de Yahoo, que vende cosas como tazas y sombreros con el logo de la empresa.

La tercera vulnerabilidad no recibió ninguna recompensa porque la compañía dijo que otra persona ya la había denunciado, y los expertos no recibieron ninguna respuesta sobre la cuarta vulnerabilidad.

Esto pone a Yahoo muy por debajo de sus principales competidores, como Google y Facebook, que ofrecen recompensas de miles de dólares por las vulnerabilidades que se descubren en sus sistemas, o han implementado un “paseo de la fama” en el que muestran los nombres de las personas que denunciaron las fallas.

Esto sirve como motivación para que los hackers les entreguen la valiosa información sobre las vulnerabilidades en vez de venderla en el mercado negro para que los cibercriminales las exploten.

“Si Yahoo no puede invertir dinero en la seguridad de su compañía, por lo menos debería tratar de atraer a los investigadores de seguridad de otras maneras. Si no, ningún cliente de Yahoo jamás podrá sentirse a salvo”, opinó la Directora Ejecutiva de High-Tech Bridge, Ilia Kolochenko.

Fuentes:

Yahoo! Pays! Paltry! $12.50! Bug! Bounty! For! Nasty! Email! Vuln! The Register
Researchers find critical vulnerabilities in Yahoo’s site, offered $12.50 per bug Geek Wire
Yahoo slammed for paltry $12.50 reward vouchers for security flaw finds V3.co.uk

Yahoo paga por dos vulnerabilidades con un vale de 25 dólares

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada