Tor Project заплатит хакерам $4000 за найденные в его сервисах ошибки

При поддержке Open Technology Fund проект Tor запускает открытую для всех программу вознаграждений HackerOne, чтоб искать баги в браузере и сетевом демоне Tor.

Проект Tor в своём официальном блоге объявил: «Мы заплатим вам за #HackTor». Дело в том, что разработчики Tor Project ещё с 2015 года планировали запуск публичной программы вознаграждения за поиск уязвимостей, но сделать это удалось только сейчас при поддержке Open Technology Fund — они запустили открытую для всех программу вознаграждений на платформе HackerOne. Искать баги предлагается в Tor-браузере и сетевом демоне Tor. К рассмотрению принимаются уязвимости, допускающие эскалацию привилегий, удаленное исполнение произвольного кода, неавторизованный доступ к пользовательским данным, а также информация о методиках атак, с помощью которых можно извлекать зашифрованные данные с узлов и клиентов.

«Миллионы людей во всем мире зависят от Tor, — пишут разработчики, — ежедневно просматривая Интернет и не беспокоясь о своей безопасности, поэтому именно вопрос вашей защиты имеет решающее значение. Ошибки в нашем коде представляют собой одну из самых больших угроз безопасности наших пользователей — они позволяют опытным злоумышленникам обходить защиту Tor и компрометировать безопасность его пользователей.

Мы постоянно ищем недостатки в нашем программном обеспечении, и нам посчастливилось иметь с большим сообществом хакеров, которые помогают нам выявлять и исправлять серьезные проблемы на раннем этапе, но мы думаем, что мы можем сделать еще больше для защиты наших пользователей. Вот почему, если вы можете принять участие в программе #HackTor, чтоб заняться розыском ошибок в нашем программном обеспечении, мы будем готовы вас за это вознаградить».

В зависимости от серьезности найденной проблемы Tor Project готов выплачивать исследователям от 100 до 4000 долларов. Так, высокоопасные баги оцениваются в 2000-4000 долларов, на уязвимостях средней степени опасности можно заработать 500-2000 долларов, а за обнаружение совсем мелких проблем можно получить 100 или вообще остаться без денежного приза, но получить в подарок футболку, стикеры и место в Зале Славы Tor.

Также будут оплачены и баги, обнаруженные в сторонних библиотеках, которые использует Tor (если библиотеки не участвуют в других bug bounty инициативах, таких как IBB). За такие уязвимости можно получить от 500 до 2000 долларов. Разработчики отдельно подчеркивают, что на OpenSSL программа не распространяется.

Читайте также:

Facebook делает свою соцсеть в Tor более дружелюбной
?
Tor Project представил альтернативные способы установки своего браузера в странах с интернет-цензурой
?
Wikipedia может открыть своё представительство в Tor
?
Рутрекер разработал средство для обхода блокировок анонсеров и открыл представительство в Tor и I2P
?
Система доставки с использованием Tor и blockchain создана в Канаде