Впервые разработчики Tor Project заговорили о запуске публичной программы вознаграждения за уязвимости еще в конце 2015 года. Приватная bug bounty программа стартовала в январе 2016 года, и благодаря ней специалистам удалось обнаружить ряд багов, включая ряд denial-of-service (DoS) и out-of-bounds (OOB) уязвимостей.

Теперь Tor Project, при поддержке Open Technology Fund, наконец объявил о запуске открытой для всех программы вознаграждений на платформе HackerOne. Искать баги предлагается в Tor браузере и сетевом демоне Tor. К рассмотрению принимаются уязвимости, допускающие эскалацию привилегий, удаленное исполнение произвольного кода, неавторизованный доступ к пользовательским данным, а также информация о методиках атак, с помощью которых можно извлекать зашифрованные данные с узлов и клиентов.

В зависимости от серьезности найденной проблемы Tor Project готов выплачивать исследователям от 100 до 4000 долларов. Так, высокоопасные баги оцениваются в 2000-4000 долларов, на уязвимостях средней степени опасности можно заработать 500-2000 долларов, а за обнаружение совсем мелких проблем можно получить 100 или вообще остаться без денежного приза, но получить в подарок футболку, стикеры и место в Зале Славы Tor.

Также будут оплачены и баги, обнаруженные в сторонних библиотеках, которые использует Tor (если библиотеки не участвуют в других bug bounty инициативах, таких как IBB). За такие уязвимости можно получить от 500 до 2000 долларов. Разработчики отдельно подчеркивают, что на OpenSSL программа не распространяется.