Tor Project сделал официальное объявление на платформе HackerOne о запуске программы вознаграждения за обнаруженные уязвимости. В программе участвуют сетевой демон Tor и браузер Tor Browser.
Организаторы BugBounty готовы платить за уязвимости, которые позволяют локально повысить привилегии на системе, осуществить неавторизованный доступ к данным пользователя, уязвимости, позволяющие заполучить доступ к ключам шифрования и другим данным на стороне сервера и клиента, и уязвимости удаленного выполнения кода.
За уязвимость высокой степени опасности обещанная награда колеблется в пределах от $2000 – $4000; за проблемы среднего уровня опасности – от $500 до $2000; минимальное вознаграждение за обнаруженную уязвимость – $100.
Помимо этого, исследователям, которые обнаружат незначительные ошибки в работе приложений, обещаны призы.
Так же будут выплачиваться вознаграждения за уязвимости в сторонних библиотеках, используемых в Tor. В этом случае вознаграждение за обнаруженные бреши составит от $500 до $2000.
По словам Алекса Райса, соучредителя HackerOne, большинство организаций установили сравнимый предел вознаграждений. Из тех компаний, которые платят больше – Google, Apple и Microsoft.
“Данный случай уникален тем, что Tor не располагает значительными денежными средствами, этот проект в большой степени финансируется сообществом” – говорит Райс.
Кстати, для всех, кто с понятием “сетевого демона” столкнулся впервые, читая эту новость из чистого любопытства, в Интернете опубликовано достаточно понятное на эту тему видео.
Источники: http://www.securitylab.ru/, https://threatpost.ru/
