Squareがバグを発見報告したハッカーに賞金をくれる

自分が善人のハッカーだと思っている人に良いニュース: 思う存分ハックしまくっても裁判になるどころか、巨額の賞金をもらえる企画がある。

ゆうべ(米国時間8/6)、セキュリティに関するカンファレンスBlackHatで、Squareの社員ハッカーDino Dai Zoviが、同社はもうすぐバグ発見賞金制度を開始する、と発表した。そして今朝、その企画がスタートした。

バグ発見賞金制度(bug bounty program)は前からGoogleなど各社にあるが、要するに、一定のルールに従ってセキュリティの弱点をつっつきまわり、その結果を知らせてくれれば、訴えるどころか賞金をくれる、という企画であり制度だ。

あなたはバグ発見者としてその名前がクレジットされ、謝礼金をもらうが、その額は発見したバグが深刻なものであればあるほど大きい。Squareの場合は最低が250ドルだ。

また、バグの発見と通報の方法・やり方が一定のルールに従っていれば、裁判に訴えられることはない。Squareの場合の規約はここにある。どれもかなりふつうで、問題を早急にSquareに報告する、適切な警告なしで問題を公表しない、サーバをDDoSしない、違法行為をしない、などなどだ。さらにSquareの場合は、同社の社員をソーシャルエンジニアリングしないことと、同社のデータセンターに侵入しないことを明記している。

バグ発見とそれらの責任ある公開のための制度や企画は、Squareだけでなく、多くの大企業にある。でも、発見者への報奨の方式は、企業によってまちまちだ。各社のバグ発見賞金制度のかなり網羅的な一覧が、Bugcrowdのここにある

[画像: Chris Harrison/Flickr, CreativeCommonsのライセンスにより使用]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。