Компания Mozilla объявила (https://blog.mozilla.org/security/2017/05/11/relaunching-web.../) о расширении инициативы (https://www.mozilla.org/en-US/security/web-bug-bounty/) по выплате вознаграждений за выявления уязвимостей. До сих пор вознаграждения начислялись только за информацию об уязвимостях в продуктах Mozilla, но уязвимости на сайтах и web-сервисах для разработки, таких как mozilla.org и bugzilla.org, представляют не меньшую опасность и могут быть применены для атаки на всю инфраструктуру. Отныне вознаграждение можно будет получить и за сведения о проблемах с безопасностью на сайтах Mozilla.
За информацию об уязвимости на сайте, позволяющей выполнить код на сервере будет выплачено вознаграждение в $5000 для ключевых сайтов, $2500 для основных сайтов и $500 для вторичных ресурсов. За сведения об обходе механизмов аутентификации или подстановке SQL-кода размер премии составит $3000 и $1500, за CSRF, XSS или захват домена - $2500 и $1000.
В качестве примеров приводится XSS-уязвимость (https://bugzilla.mozilla.org/show_bug.cgi?id=1305713), позволяющая выполнить коммит в Git через манипуляции с комментариями на сайте bugzilla.mozilla.org, и уязвимость (https://bugzilla.mozilla.org/show_bug.cgi?id=1294567) в сервисе arewefastyet.community.scl3.mozilla.com, позволяющая выполнить подстановку SQL-кода.URL: https://blog.mozilla.org/security/2017/05/11/relaunching-web.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=46533
Выплаты не за безопасность браузера, а про кейсы на основании выполнения уязвимостей на популярных сайтах?
https://www.opennet.ru/opennews/art.shtml?num=42429
Хотят сделать свой маркетинговый буллшит неуязвимым
Чтобы в процессе "выявления уязвимости" в тюрьму не посадили - необходимо деньги вперёд. Тогда получится "работа по договору", а не тупо взлом.
Объявление о награде есть оферта договора. А взлом есть "конклюдентное действие" по принятию оферты.
Мозилла не выплатила мне за найденный баг. было это года 3 назад. Как балбес им все рассказал. дыру закрыли а деньги не выплатили. расчитывал на 1000$. Больше сообщать им баги желания нет..
Ну это голословные утверждения.
А так там куча нюансов https://www.mozilla.org/en-US/security/bug-bounty/faq/
Например, за DDoS бреши не выплачивают.
Неправда. Ничего ты не находил.
А ты не Mozilla Foundation