自分が善人のハッカーだと思っている人に良いニュース: 思う存分ハックしまくっても裁判になるどころか、巨額の賞金をもらえる企画がある。
ゆうべ(米国時間8/6)、セキュリティに関するカンファレンスBlackHatで、Squareの社員ハッカーDino Dai Zoviが、同社はもうすぐバグ発見賞金制度を開始する、と発表した。そして今朝、その企画がスタートした。
バグ発見賞金制度(bug bounty program)は前からGoogleなど各社にあるが、要するに、一定のルールに従ってセキュリティの弱点をつっつきまわり、その結果を知らせてくれれば、訴えるどころか賞金をくれる、という企画であり制度だ。
あなたはバグ発見者としてその名前がクレジットされ、謝礼金をもらうが、その額は発見したバグが深刻なものであればあるほど大きい。Squareの場合は最低が250ドルだ。
また、バグの発見と通報の方法・やり方が一定のルールに従っていれば、裁判に訴えられることはない。Squareの場合の規約はここにある。どれもかなりふつうで、問題を早急にSquareに報告する、適切な警告なしで問題を公表しない、サーバをDDoSしない、違法行為をしない、などなどだ。さらにSquareの場合は、同社の社員をソーシャルエンジニアリングしないことと、同社のデータセンターに侵入しないことを明記している。
バグ発見とそれらの責任ある公開のための制度や企画は、Squareだけでなく、多くの大企業にある。でも、発見者への報奨の方式は、企業によってまちまちだ。各社のバグ発見賞金制度のかなり網羅的な一覧が、Bugcrowdのここにある。
[画像: Chris Harrison/Flickr, CreativeCommonsのライセンスにより使用]
[原文へ]
(翻訳:iwatani(a.k.a. hiwa))