ヤフーは、セキュリティ脆弱性発見への報奨としてTシャツを配布していたが、これを「Tシャツゲート」と名付けた公の非難を受け、これを中止する。同社は、スイスのセキュリティ企業ハイテク・ブリッジから厳しい批判を受けた。同社は、ヤフーのネットワークに4つの深刻な脆弱性を発見したが、現在はすべて修正済みである。これらの脆弱性のうち3つはクロスサイトスクリプティングの脆弱性で、攻撃者がユーザーのヤフーメールアカウントを乗っ取る可能性があった。
ヤフーは10月31日より、脆弱性が新規、特異、または高リスクであることを条件に、150ドルから1万5000ドルの報奨金を支払う。7月1日以前に問題を報告した研究者に対し、報奨金を遡及的に支給する予定だと、ヤフーのセキュリティチームディレクター、ラムセス・マルティネス氏は水曜日のブログ投稿で述べた。
「もちろん、これには私のTシャツが気に入らなかったハイテクブリッジの研究者への小切手も含まれています」とマルティネス氏は書いている。
ハイテクブリッジは月曜日にプレスリリースを発表し、ヤフーが脆弱性1件につき12.50ドルのクレジットを提供し、ヤフーストアでTシャツ、カップ、ペンなどのヤフーブランドの商品を購入する際に使用できると述べた。
その結果、ハイテクブリッジはヤフーのネットワークに関するさらなる調査を控えると発表した。同社はヤフーの報奨金は「悪い冗談だ」と述べている。
ハイテクブリッジのCEO、イリア・コロチェンコ氏は電子メールで、同社の発見に対して金銭的な報酬を求めているわけではないが、ヤフーがセキュリティ研究者とのコミュニケーションを改善していることを嬉しく思っていると述べた。
「それは良い兆候だ」と彼は書いた。
GoogleやFacebookなどの大企業の多くは、脆弱性情報に対して高額の報奨金を提供しています。Googleは条件を満たす脆弱性に対して最大2万ドル、Facebookは最低500ドルを支払います。
企業にとっては、専任の研究者を雇うよりも脆弱性情報に料金を支払う方がコスト削減になります。また、研究者がハッキングフォーラムを利用して情報を金儲けしようとするのを抑止するのにも役立ちます。ハッキングフォーラムでは、情報が悪用される可能性があります。
ヤフーには、セキュリティ研究者を表彰する正式なプロセスがありませんでした。マルティネス氏は、感謝の気持ちを表すために研究者にTシャツを送り始めたと書いています。
「シャツも自分のお金で買ったんだ」と彼は書いた。
しかし、Yahoo!は最近、脆弱性報告プログラムの改善を決定しました。Yahoo!は受け取った脆弱性情報に迅速に対応しましたが、「私の『Tシャツを送る』というアイデアは改善の余地がありました」とマルティネス氏は書いています。
「今月、セキュリティチームは改訂版プログラムの最終仕上げに取り組んでいました」と彼は書いている。「そして昨日の朝、『Tシャツゲート』が起こりました。私の受信箱はヤフー社内外の人々からの怒りのメールでいっぱいでした。感謝の気持ちとして、ただのTシャツを送るなんて、一体どういうつもりだったんでしょうか?」
ヤフーはまた、研究者がセキュリティ問題を報告できるウェブページの改善も計画している。マルティネス氏によると、研究者には2週間以内に連絡が届くという。有効な脆弱性を報告できた研究者には、研究の参考資料として利用できるメールまたは書面も送られる。
「最もよく報告された問題については、当サイトから『名誉の殿堂』で個人の貢献を直接紹介します」と彼は書いている。
