На этой неделе Reddit объявил о запуске публичной программы bug bounty на платформе HackerOne.
В последние три года у сайта уже действовала собственная программа вознаграждений за обнаруженные уязвимости, но она была доступна только для избранных исследователей. За это время Reddit получил 300 отчетов об уязвимостях, а выплаты специалистам превысили 140 000 долларов.
Теперь bug bounty будет доступна для всех желающих, и в компании подчеркивают, что цель программы — защитить учетные записи пользователей, их личности и личные данные, включая чаты, сообщения, адреса электронной почты, историю голосований и данные о подписках на сабреддиты. Для этого компания решила расширить рамки программы: теперь в нее входят все поддомены reddit.com и snooguts.net.
Отчеты об уязвимостях должны содержать достаточно информации, чтобы команда Reddit могла воспроизвести баг самостоятельно. Исследователи могут претендовать на вознаграждение в размере до 10 000 долларов США, если уязвимость считается критической. Также специалисты могут получить до 5000 долларов за ошибки высокой степени серьезности, 500 долларов за ошибки средней серьезности и 100 долларов за недостатки низкой серьезности.
Уязвимости считаются критическими, если они приводят к массовой компрометации пользовательских данных, включая хэши паролей, адреса электронной почты, частные чаты и сообщения, а также если они позволяют злоумышленнику обойти аутентификацию и получить доступ к учетным записям.
Исследователям запрещается получать доступ к учетным записям или данным других пользователей, публично разглашать детали выявленных уязвимостей без явного согласия Reddit и до того как персонал Reddit исправит проблемы.
Кроме того, исследователям запрещается сканировать внутреннюю сеть Reddit после получения удаленного доступа к серверу, а также злоупотреблять обнаруженными уязвимостями для загрузки вредоносных программ, дальнейшего ослабления безопасности затронутых систем или оказания влияния на производительность и доступность Reddit.