Twitter стал последней из крупных интернет-компаний, которая объявила о начале выплаты вознаграждений хакерам за найденные уязвимости в своём сервисе. Для этого открыт аккаунт на платформе HackerOne, через который осуществляется информационная поддержка программы bug bounty.
Минимальная сумма вознаграждения составляет $140, максимальная не ограничена. Размер награды зависит от серьёзности бага и остаётся субъективно на усмотрение Twitter.
Принимаются любые уязвимости, угрожающие безопасности, в том числе XSS, CSRF, удалённое исполнение кода, неавторизованный доступ к незащищённым твитам.
Не засчитываются баги, воспроизводимые только в старых браузерах, неисправимые уязвимости в сторонних протоколах, сообщения о спаме, результаты автоматического сканирования. Правилами запрещено применять социальную инженерию к сотрудникам Twitter и пытаться получить физический доступ в офисы и дата-центры компании. Даже если вы обнаружили, что охранник офиса Twitter спит на посту, за такую информацию компания ничего не заплатит.
«Это не конкурс и не соревнование, — сказано на официальной странице. — Вознаграждения могут выплачиваться на постоянной основе настолько долго, насколько продолжается действие этой программы».
Хакерам и всем любознательным гикам предлагают поискать уязвимости на сайтах *.twitter.com, а также в мобильных приложениях Twitter for iOS и Twitter for Android. Уязвимости в других продуктах (Vine и прочие) и сайтах Twitter пока не подлежат оплате. Возможно, их добавят в будущем, когда устранят самые очевидные баги. Тем не менее, за нахождение любых багов, которые пришлось исправлять, имена хакеров помещают на доску почёта (по желанию).
Сейчас на доске 44 героев, благодаря им закрыто 46 уязвимостей.