تنفيذًا لما وعدتْ به، أطلقتْ ياهو رسميًّا برنامجها للكشف عن الثغرات الأمنية المعروف بـ “بيج بونتي”، في وقتٍ متأخرٍ من الأسبوع الماضي؛ بهدف إصلاح وتصحيح ما يراه الكثيرون في قطاع الأمن والحماية ـ زَلَّة، وذلك بعد أن مَنحت أحد الباحثين مبلغًا تافهًا بلغ 12,50 دولارًا، مكافأةً له على اكتشافه خطأً في البرمجة النصية للموقع.
استطاعت الشركة أن تُخَلّص نفسها من مأزق الانتقادات الموجهة إليها، عندما أعلنت في أيلول/ سبتمبر أن مبلغ الـ 12,50 دولارًا – الذي يُعد جائزةً متواضعة القيمة – هو رمز تخفيضٍ يُستخدم عند شراء منتجات ياهو من فروعها؛ كالقمصان، والأكواب، والأقلام.
تناول مدير أمن شركة ياهو، رمسيس مارتينيز، قواعد هذا البرنامج من خلال مقالٍ له تم نشره الخميس على مدونة تمبلر التابعة للشركة ” Developer Network Tumblr” ـ مازحًا، أنه يأمل بأن يكون هذا البرنامج بمثابة “فاتحةٍ لعصرٍ أقل تمركزًا حول القمصان، وأكثر تركيزًا على النواحي الأمنية في شركة ياهو”.
الآن، يمكن للباحثين أن يبلغوا الشركة رسميًّا عن أي ثغراتٍ أمنيةٍ يكتشفونها في التطبيقات، والمواقع الإلكترونية الخاصة بـ “ياهو” و”فليكر” على الموقع bugbounty.yahoo.com .
تتشابه بنود قائمة الثغرات الأمنية التي يستحق الكشف عنها الحصول على جائزة، مع تلك الموجودة في قائمة المواقع الإلكترونية الأخرى التي أَطلقت مؤخرًا برامجها الخاصة بها (مثل جوجل، وفيس بوك)؛ حيث تشمل:
- البرمجيات النصية عبر المواقع.
- حقن “لغة الاستعلام البنائية SQL”.
- عمليات إعادة التوجيه المفتوحة.
- تنفيذ التعليمات البرمجية عن بُعد.
- تزوير الطلبات عبر المواقع.
- اجتياز الدليل.
- الكشف عن المعلومات.
- انتحال المحتوى.
- نقرة الاصطياد.
ووفقًا لما اعترف به مارتينيز في مطلع شهر تشرين الأول/ أكتوبر، سيكافئ البرنامج الباحثين الذين يكتشفون ثغراتٍ أمنيةً تقنيةً لم يُكشف عنها في السابق، ويعلنون عن أن الفضل يعود إليهم في اكتشافها. تتراوح قيمة الجائزة التي يحصل عليها هؤلاء الباحثون من 250 إلى 15000 دولار، تبعًا لخطورة وتعقيد المشكلة. وأضاف، أن التقارير والبلاغات المُقدمة سيتم التحقق من صحتها على مدار الساعة وطيلة أيام الأسبوع، وسيرُد العاملون في الفريق الأمني لـ “ياهو” شخصيًّا على أي أحدٍ يبلغ عن اكتشافه لوجود أيٍّ من الأخطاء البرمجية.
كما هو الحال مع معظم برامج الكشف عن الثغرات الأمنية “بيج بونتي”، لا بد وأن يوجد جانبٌ رماديٌّ محدودٌ عندما نتطرق للثغرات الأمنية الأخرى، التي قد لا تدخل ضمن الفئات المصنفة والمبينة أعلاه. من هذا المنطلق، تتعهد شركة ياهو أنها ستبحث عن طريقةٍ أخرى لتقدير جهود الباحثين في اكتشاف الثغرات الأمنية، على المواقع الأخرى التابعة لـ “ياهو”، طالما أنها غير متعلقة بمسائل بروتوكولات الشبكات، أو الهندسة الاجتماعية، أو موجودة في أحد البرامج التي لم تعد مُعتمدةً ومدعومة.
مثلما يفعل فيس بوك مع الباحثين الذي يكشفون عن تلك المشاكل، ستعلن ياهو عن أسماء هؤلاء الذين سيبلغون عن الثغرات الأمنية، فيما أطلقت عليه اسم “حائط المشاهير”.
تم تسليط الضوء على افتقار الشركة لأفضل الممارسات في وقتٍ سابقٍ من خريف هذا العام، وذلك عندما أرسلت شركة “هاي- تك بريدج” السويسرية العاملة في قطاع الأمن، سلسلةً طويلةً من الثغرات الأمنية من نوع “XSS” على الموقع الإلكتروني security@yahoo-inc.com، وبلغت الجائزة نظير كل ثغرةٍ أمنيةٍ مُكتشفَة 12,50 دولار، وهي قيمة التخفيض على المنتجات في فروع ياهو.
كما كان متوقعًا، تسبب ذلك في حدوث موجةٍ غاضبةٍ داخل قطاع الأمن، الأمر الذي جعل الشركة تستجيب أخيرًا، وقدمت مكافأةً قدرها 1000 دولار لشركة “هاي- تك بريدج” مقابل كشفها عن الثغرات الأمنية، وبعد “اجتماعات، ورسائل بريدٍ إلكتروني، واتصالاتٍ جديدة، وأطنانٍ من المناقشات” ـ أعلنت أخيرًا عن إطلاق برنامجها الجديد للكشف عن الثغرات الأمنية، والمعروف بـ “بيج بونتي”.