Впервые разработчики Tor Project заговорили о запуске публичной программы вознаграждения за уязвимости еще в конце 2015 года. Приватная bug bounty программа стартовала в январе 2016 года, и благодаря ней специалистам удалось обнаружить ряд багов, включая ряд denial-of-service (DoS) и out-of-bounds (OOB) уязвимостей.
Теперь Tor Project, при поддержке Open Technology Fund, наконец объявил о запуске открытой для всех программы вознаграждений на платформе HackerOne. Искать баги предлагается в Tor браузере и сетевом демоне Tor. К рассмотрению принимаются уязвимости, допускающие эскалацию привилегий, удаленное исполнение произвольного кода, неавторизованный доступ к пользовательским данным, а также информация о методиках атак, с помощью которых можно извлекать зашифрованные данные с узлов и клиентов.
В зависимости от серьезности найденной проблемы Tor Project готов выплачивать исследователям от 100 до 4000 долларов. Так, высокоопасные баги оцениваются в 2000-4000 долларов, на уязвимостях средней степени опасности можно заработать 500-2000 долларов, а за обнаружение совсем мелких проблем можно получить 100 или вообще остаться без денежного приза, но получить в подарок футболку, стикеры и место в Зале Славы Tor.
Также будут оплачены и баги, обнаруженные в сторонних библиотеках, которые использует Tor (если библиотеки не участвуют в других bug bounty инициативах, таких как IBB). За такие уязвимости можно получить от 500 до 2000 долларов. Разработчики отдельно подчеркивают, что на OpenSSL программа не распространяется.
Теперь Tor Project, при поддержке Open Technology Fund, наконец объявил о запуске открытой для всех программы вознаграждений на платформе HackerOne. Искать баги предлагается в Tor браузере и сетевом демоне Tor. К рассмотрению принимаются уязвимости, допускающие эскалацию привилегий, удаленное исполнение произвольного кода, неавторизованный доступ к пользовательским данным, а также информация о методиках атак, с помощью которых можно извлекать зашифрованные данные с узлов и клиентов.
В зависимости от серьезности найденной проблемы Tor Project готов выплачивать исследователям от 100 до 4000 долларов. Так, высокоопасные баги оцениваются в 2000-4000 долларов, на уязвимостях средней степени опасности можно заработать 500-2000 долларов, а за обнаружение совсем мелких проблем можно получить 100 или вообще остаться без денежного приза, но получить в подарок футболку, стикеры и место в Зале Славы Tor.
Также будут оплачены и баги, обнаруженные в сторонних библиотеках, которые использует Tor (если библиотеки не участвуют в других bug bounty инициативах, таких как IBB). За такие уязвимости можно получить от 500 до 2000 долларов. Разработчики отдельно подчеркивают, что на OpenSSL программа не распространяется.