Программа вознаграждения за обнаруженные уязвимости существует у Mozilla с 2004 года. В период с 2017 по 2019 год организация выплатила исследователям около миллиона долларов за 350 различных багов. Хотя средняя сумма награды за этот период составляет приблизительно 2700 долларов, наиболее часто присуждаемая сумма вознаграждения равняется 4000 долларов.
В конце 2019 года, в честь пятнадцатилетия браузера Firefox, Mozilla уже расширяла свою программу bug bounty, распространив ее на целый ряд новых сайтов и сервисов. Тогда выплаты за удаленное выполнение кода на критически важных сайтах были увеличены сразу втрое – до 15 000 долларов США.
Теперь же представители Mozilla сообщили, что в bug bounty вновь вносят приятные для исследователей изменения.
Так, отныне за обнаружение наиболее критических уязвимостей исследователи смогут получить до 10 000 долларов (если описание проблемы будет сопровождаться высококачественным отчетом). К таким уязвимостями относятся, к примеру, побег из песочницы или выполнение произвольного кода.
Другие серьезные проблемы, такие как нарушение целостности информации в памяти, обход same origin, приводящий к утечке пользовательских данных, и получение IP-адреса пользователя при настроенном прокси-сервере, теперь могут принести исследователям от 3000 до 5000 долларов.
Кроме того, Mozilla сообщает, что теперь багхантеры могут сообщать об один и тех же уязвимостях (независимо друг от друга), и никто не останется обиженным. Дело в том, что это весьма распространенная проблема среди исследователей: эксперты внимательно изучают сборки Firefox Nightly, и нередко несколько человек обнаруживают одни и те же уязвимости с разницей всего в нескольких часов. Теперь в Mozilla решили, что вознаграждение за такие ошибки будет делиться между всеми исследователями, которые сообщили о проблеме в течение 72 часов после подачи первого багрепорта.