「ユーザーがシステムにバグを見つけた場合、ハッカーに情報を販売するよりも彼らにお金を払う方が良い」という考えは、Google、Facebook、Samsung、Mozillaが長い間使用しており、PayPal支払いシステムも成功していると考えられています
PayPal情報セキュリティディレクターのMichael Barrettは、彼の会社が、ソフトウェアまたは決済システムのアーキテクチャの脆弱性を検出できる独立した開発者向けの報酬プログラムを開始すると発表しました。
有能なユーザー(支払いが行われるためPayPalアカウントを持っている)は、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)、SQLインジェクション( SQLi)、およびシステムのWebサイト上のユーザーの認証メカニズムをバイパスする機能の説明。
ニュアンスがあります-支払い額について事前に言われていません。 各ケースはPayPalエンジニアリングチームによって審査され、検討中のケースの重大度に応じて、報酬の金額について特定の決定が行われます。 この意味で、Mozillaはより正直です。基金は、開発者が製品で見つかったバグに対して500ドルから3000ドルの金額を受け取るとすぐに宣言します。 Googleは同じことをしている-検索の巨人は一般的な脆弱性に対して500ドルを支払うが、Googleは危険な穴に関する情報に対してもより多くの金額を支払う意思がある-3,000ドル。
[ ソース ]