Após anunciar o aumento da recompensa por falhas de segurança que afetavam seus sites e serviços para US$ 15 mil, empresa decidiu agora que os bugs terão compensação de até US$ 10 mil
A Mozilla anunciou nesta quinta-feira, 23, algumas mudanças em seu programa de recompensas de bugs do Firefox, incluindo compensações maiores e a possibilidade de aceitar relatórios duplicados em alguns casos.
A fundação administra um programa de recompensas por bugs desde 2004 e, entre 2017 e 2019, pagou quase US$ 1 milhão por aproximadamente 350 vulnerabilidades. O pagamento médio nesse período foi de aproximadamente US$ 2,7 mil, mas o valor mais comumente concedido é de US$ 4 mil.
A Mozilla decidiu agora que os bugs de maior gravidade podem resultar em uma recompensa de até US$ 10 mil, se forem acompanhados por um relatório de alta qualidade. As vulnerabilidades incluem fugas de sandbox, falhas de execução de código e técnicas para ignorar os prompts de instalação do WebExtension.
Veja isto
Mozilla libera correções para vulnerabilidades RCE no Firefox
Hackers rastreiam tráfego no Chrome e Firefox
Em novembro do ano passado, a Mozilla havia anunciado que a principal recompensa por falhas de segurança que afetavam seus sites e serviços essenciais e críticos tinha aumentado para US$ 15 mil.
Problemas de alto impacto, como corrupção de memória, desvio de mesma origem que resulta em vazamento de dados do usuário e obtenção do IP de um usuário se um proxy estiver configurado, podem render ao pesquisador entre US$ 3 mil e US$ 5 mil.
“Mais uma vez, queremos enfatizar, se já não foi, que o valor da recompensa não é determinado com base no seu envio inicial, mas no resultado da discussão com os desenvolvedores. Assim, melhorar os casos de teste após o envio, descobrir se a especulação de um engenheiro é fundamentada ou não, ou outra assistência que ajude a resolver o problema aumentará a recompensa”, disse Tom Ritter, da Mozilla, em um post no blog da empresa.
A Mozilla também informou aos caçadores de bugs que agora vai permitir envios duplicados, o que pode ser comum no caso de pesquisadores que desenvolvem o Firefox Nightly e que porventura venham a encontrar a mesma vulnerabilidade em poucas horas um do outro. A Mozilla decidiu que a recompensa por falhas será dividida entre todos os pesquisadores que relatarem o mesmo problema dentro de 72 horas após o primeiro relatório.