Firefoxのバグを見つけて5000ドルの報奨金をもらった話

先日、僕が報告したFirefoxというブラウザのバグが修正され、開発元のMozillaのサイトにそのバグの概要が掲載されました。

MFSA 2015-149: data および view-source URI を通じたクロスサイト読み取り攻撃

開発元のMozillaは、Bug Bounty Programという自分たちが開発した製品、サービスのセキュリティ上のバグを発見してくれた人に対して報奨金を支払う制度を設けています。

このBug Bounty Programという制度は、Mozilla以外にもGoogle、Microsoft、Facebookなど様々な企業、団体が取り組んでおり、最近では日本の企業もこの制度を取り入れるところが徐々にですが増えてきています。

通常、Bug Bounty Programで支払われる報奨金の額はバグの重要度で決まります。

Mozillaの場合はその重要度が4段階に分かれており、重要度が低い順から以下のような分類になっています。

低(Low)→中(Moderate)→高(High)→最高(Critical)

その中で、今回僕が報告したバグはMozillaから最高(Critical)に相当する、という評価を受けまして、報奨金として5000ドルをいただくことができました。
このときに見つけたバグの詳細については、近いうちに某勉強会にて発表させていただこうと思っています！

2014年の7月頃から始めた情報セキュリティで、憧れのバグハンターの方を目指して今までやってきましたが、この件でようやく見習いバグハンターとして一皮むけることができたような気がします。
今年はより一層憧れのバグハンターの方に近づけるように精進したいです(,,Ծ‸Ծ,,)