Twitter стала в ряд крупных интернет-компаний, запустивших собственную призовую программу, причем верхняя граница суммы, которую исследователь может получить за сообщение об уязвимости, не установлена.

В среду компания объявила, что будет проводить призовую программу через платформу HackerOne, систему распределения вознаграждений, которая позволяет вендорам работать с пулом из сотен исследователей, проводящих разрешенные исследования продуктов компании. HackerOne используется рядом уважаемых компаний, включая Square, Yahoo и CloudFlare, также эта платформа обеспечивает работу Internet Bug Bounty.

По условиям призовой программы Twitter будет выплачивать вознаграждение за обнаружение уязвимостей на основном веб-сайте компании и в приложениях Twitter для iOS и Android. Перечень типов уязвимостей, на которые направлена программа, включает XSS, CSRF, удаленный запуск кода и неавторизованный доступ к приватным твитам или прямым сообщениям.

«Поддержание первоклассного уровня безопасности — дело всего сообщества, и нам повезло обзавестись динамичной группой независимых исследователей-безопасников, которые жертвуют своим временем, чтобы помочь нам найти потенциальные проблемы. Дабы вознаградить их усилия и отметить важность роли, которую они играют в поддержании защищенности Twitter, мы предлагаем призы за сообщения об уязвимостях системы безопасности определенных типов», — сказано в правилах программы Twitter.

Выплата крупных вознаграждений стала практически обязательной для больших софтверных и веб-компаний, включая Facebook, Yahoo, Google и многие другие. У Microsoft есть собственная версия программы вознаграждений, и даже некоторые индивидуальные разработчики также начали предлагать награду за сообщения об уязвимостях.

Призовая программа Twitter начинается с минимального вознаграждения в размере $140, но не имеет верхнего предела выплаты. Компания уже исправила несколько дюжин багов, о которых ей сообщили посредством платформы HackerOne, включая тот, что cookies на сайте Twitter не были помечены как защищенные.

Категории: Кибероборона, Уязвимости