Mozilla verhoogt beloningen voor het melden van Firefox-kwetsbaarheden

[Captain Kirk]

Mozilla heeft besloten om de beloning voor het melden van kwetsbaarheden in Firefox te verhogen. Daarnaast wordt het "bug bounty" programma verder uitgebreid. De browserontwikkelaar was één van de eerste organisaties met een beloningsprogramma voor onderzoekers die kwetsbaarheden rapporteerden.

Toen Mozilla in 2004 begon kregen onderzoekers maximaal 500 dollar voor hun inzendingen. Dat bedrag is in de loop van de jaren verhoogd. Van 2017 tot en met 2019 keerde Mozilla bijna 966.000 dollar uit voor 348 gerapporteerde kwetsbaarheden. Gemiddeld bedroeg de beloning een kleine 2800 dollar per bug. De browserontwikkelaar merkt op dat een beloning van 4000 dollar het vaakst werd uitgekeerd.

Meldingen van ernstige kwetsbaarheden werden gemiddeld met beloningen tussen de 3000 en 5000 dollar beloond. Mozilla heeft die bedragen verhoogd, waarbij het een basisniveau van 8000 dollar hanteert. Wanneer de bugmelding goed gedocumenteerd is kan er zelfs 10.000 dollar worden uitgekeerd.

Daarnaast stopt de browserontwikkelaar met het "wie het eerst komt, het eerst maalt" principe. Wanneer onderzoekers in het verleden dezelfde kwetsbaarheid rapporteerden kreeg alleen de persoon die de bug als eerste meldde een beloning. Nu zal de beloning worden verdeeld onder alle personen die het beveiligingslek binnen 72 uur na de eerste melding inzonden.

Tevens zal Mozilla meer informatie gaan delen hoe Firefox is te testen. Op deze manier zouden meer mensen aan het zoeken naar bugs moeten deelnemen, wat de veiligheid van de browser moet verbeteren.

 

bron: security.nl