Nem, nem önkéntes hackereket keres, de a Twitter is követi a Mozillánál, a Google-nél, a Facebooknál, a Microsoftnál és egy sor más cégnél bevált gyakorlatot: fizet azoknak a külső biztonsági kutatóknak, akik biztonsági rést fedeznek fel a cég rendszerében – írta a Biztonságportál.

Az új elem a programban a pénz, ugyanis a bejelentés lehetősége eddig is adott volt, ám a sebezhetőség feltárójának meg kellett elégednie a dicsőséggel. Azt még nem lehet tudni, hogy mennyire lesz nagyvonalú a vállalat a díjazásban, csupán a minimum díjat hozták nyilvánosságra: a bejelentés szerint a minimális díj 140 dollár, ám a kiosztható jutalom összegét nem maximalizálták.

Ez arra utal, hogy Twitternél egyedileg fogják eldönteni, hogy mennyit ér egy-egy bejelentett hiba. Nyilván minél súlyosabb, minél több kockázatot rejtő sérülékenységre derül fény, annál több pénzt zsebelhet be a hiba felfedezője. (A rendszert alkalmazó vállalatoknál nem ritkák a több ezer dolláros jutalmak sem.)

Nem mindenre és nem mindenkire vonatkozik

A jutalmazási programba egyelőre csak a *.twitter.com-ot, a Twitter for iOS-t és a Twitter for Androidot vonták be. Ha valaki más szoftverek vagy más domaineken futó webalkalmazások hibáit jelenti be, azokért egyelőre nem kap jutalmat.

A cég egy sor szabályt is felállított a későbbi vitákat megelőzendő. Csak az a kutató részesülhet anyagi elismerésben, aki teljesen új sérülékenységet jelentett be. A hibának besorolható kell lennie a Twitter által felállított sérülékenységi kategóriák valamelyikébe: például XSS (cross-site scripting), CSRF (cross-site request forgery), távoli kódfuttatásra használható vagy jogosulatlan hozzáférést lehetővé tevő hibákat.

Mielőtt valaki a jutalom reményében intenzív hackerkedésbe fogna, jó ha tudja: a hibák felderítéséhez nem lehet használni fizikai támadásokat (például betörni egy Twitter-irodába), social engineering módszereket (Twitter-alkalmazottakból infókat kicsalni cseles módszerekkel), és persze  szolgáltatásmegtagadási (DoS) támadásokat sem. A szabályzat emellett tilt minden olyan tevékenységet, ami a felhasználókat hátrányosan érintheti.

A Twitter tesztprofilok alkalmazását javasolja, amivel a próbálkozók még véletlenül nem okozhatnak kárt más felhasználóknak. Vagyis az etikus hackelés szabályait szigorúan be kell tartani. Ha valaki mégis tiltott eszközt használna, hiába fedez fel bármit is, a jutalom helyett jogi eljárásokra számíthat. A feltételekről csupán egy kattintásnyira olvashatnak részletesen.