Tor запускает программу bug bounty

С ростом числа кибератак и нарушений, значительное количество компаний и организаций начали запускать свои bug bounty программы.

Одна из таких крупных компаний, некоммерческой проект Tor.

Теперь Tor Project, при поддержке Open Technology Fund, объединился с HackerOne  и наконец объявил

о запуске открытой для всех программы. Искать баги предлагается в Tor браузере и сетевом демоне Tor. К рассмотрению принимаются уязвимости, допускающие эскалацию привилегий, удаленное исполнение произвольного кода, неавторизованный доступ к пользовательским данным, а также информация о методиках атак, с помощью которых можно извлекать зашифрованные данные с узлов и клиентов.

Tor Project объявила о своем намерении запустить программу bug bounty в конце декабря 2015 года во время выступления админов проекта Tor в Haos Communication Congress (CCC), которая состоялась в Гамбурге, Германия.

В зависимости от серьезности найденной проблемы Tor Project готов выплачивать исследователям от 100 до 4000 долларов. Так, высоко опасные баги оцениваются в 2000-4000 долларов, на уязвимостях средней степени опасности можно заработать 500-2000 долларов, а за обнаружение совсем мелких проблем можно получить 100 или вообще остаться без денежного приза, но получить в подарок футболку, стикеры и место в Зале Славы Tor.

Кроме того, менее серьезные проблемы, будут вознаграждены корпоративными футболками, наклейками и упоминания в Зале славы Tor.

Проект впервые объявила о своих планах по запуску программу bug bounty после того, как Tor обвинил ФБР по заказу исследователей из Университета Карнеги-Меллона, по крайней мере $1 миллион, чтобы помочь им взломать цепочку связи Tor и раскрыть IP-адреса пользователей, но ФБР категорически опровергает претензии.