23 апреля 2020 года Mozilla отчиталась в корпоративном блоге о размерах выплат по программе Mozilla Client Security Bug Bounty Program и рассказала, что повышает выплаты по этой программе для всех сборок браузера Firefox. Также компания расширяет период принятия багрепорта по одной проблеме от разных специалистов, чтобы обеспечить им конкурентное преимущество в своих исследованиях.
Программа вознаграждения за обнаруженные уязвимости Mozilla Client Security Bug Bounty Program существует с 2004 года. В период с 2017 по 2019 год Mozilla выплатила независимым исследователям $965 750 за найденные ими 348 проблем и уязвимостей в браузере Firefox для различных платформ. Средняя сумма выплаты за три последних года составила около $2700, причем 132 ИБ-энтузиаста получили по $4000 за свои оперативные находки.
В конце апреля 2020 года Mozilla внесла изменения в свою программу bug bounty. Теперь за обнаружение наиболее критических уязвимостей в браузере Firefox, например, побег из песочницы или выполнение произвольного кода, исследователи могут получить $10 000, при условии предоставления полного отчета (High Quality Report) по найденной проблеме или $8 000 при предоставлении стандартного объема данных (Baseline Report) по обнаруженному багу.
За обнаружение других менее критичных, но тоже серьезнаых багов, например, нарушение целостности информации в памяти или получение IP-адреса пользователя при работающем у него прокси-сервере, исследователи могут получить до $5 000.
Вдобавок компания отказывается от своей политики «first reporter wins». Теперь различные независимые специалисты могут в течение 72 часов сообщать Mozilla об одной и той же найденной ими уязвимости. В компании будут принимать и анализировать все остальные отчеты после подачи первого багрепорта и от других исследователей. В случае проработки ими одинаковой проблемы, вознаграждение за найденных баг будет делиться между всеми специалистами, причем не поровну, а пропорционально. Подразумевается, что большую часть суммы от выплаты получат те, кто прислал более качественный отчет по проблеме.
