Програма винагороди за виявлені вразливості існує у Mozilla з 2004 року. У період з 2017 по 2019 рік організація виплатила дослідникам близько мільйона доларів за 350 різних багів. Хоча середня сума нагороди за цей період становить приблизно 2700 доларів, найбільш часто присуджується сума винагороди дорівнює 4000 доларів.
В кінці 2019 року, на честь п’ятнадцятиріччя браузера Firefox, Mozilla вже розширювала свою програму bug bounty, поширивши її на цілий ряд нових сайтів і сервісів. Тоді виплати за віддалене виконання коду на критично важливих сайтах були збільшені відразу втричі – до 15 000 доларів США.
Тепер же представники Mozilla повідомили, що в bug bounty знову вносять приємні для дослідників зміни.
Так, відтепер за виявлення найбільш критичних вразливостей дослідники зможуть отримати до 10 000 доларів (якщо опис проблеми буде супроводжуватися високоякісним звітом). До таких уразливими відносяться, наприклад, втеча з пісочниці або виконання довільного коду.
Інші серйозні проблеми, такі як порушення цілісності інформації в пам’яті, обхід same origin, що приводить до витоку призначених для користувача даних, і отримання IP-адреси користувача при налаштованому проксі-сервері, тепер можуть принести дослідникам від 3000 до 5000 доларів.
Крім того, Mozilla повідомляє, що тепер БагХантер можуть повідомляти про одні і тіж вразливості (незалежно один від одного), і ніхто не залишиться скривдженим. Справа в тому, що це вельми поширена проблема серед дослідників: експерти уважно вивчають збірки Firefox Nightly, і нерідко кілька людей виявляють одні й ті ж уразливості з різницею всього в декількох годин. Тепер в Mozilla вирішили, що винагорода за такі помилки буде ділитися між усіма дослідниками, які повідомили про проблему протягом 72 годин після подачі першого багрепорта.
