Twitter、バグ狩り懸賞金に総額32万2420ドルを支払い。賞金稼ぎ達が5171件を発見

写真拡大


Twitter社はこの2年間に実施したバグ探し懸賞プログラム(Bug Bounty Program )により、322,420ドル(約3500万円)の賞金を支払ったことを公式ブログ上で公表しました。同制度をスタートして以来、1662人から5171件のバグ報告があり、最高金額は12,040ドル(約134万円)とのことです。

Twitter社がバグ発見報奨金プラットフォーム(バグを発見したい企業とバグ発見の賞金をもらいたい研究者を結びつけるシステム)のHakcerOneとの共同作業をスタートしたのは、2014年5月のこと。同年8月末にジェニファー・ローレンスなどセレブリティ写真がiCloudから大量流出した事件があり、セキュリティー侵害への関心が高まるなか、改めてバグ懸賞金システムの立ち上げを強調していました。

報奨金の対象となったのはTwitterのWeb版やTweetDeck、iOSとAndroidのTwitter公式アプリなどで、バグ報告1件につき最少額で140ドルの支払い。この2年間超で、最高額は12,040ドル(報奨金は140の倍数)、平均額は835ドル。そうやって解決されたバグのうち、20%だけが公開されているとのことです。

それとは別にTwitter社はリモートコード実行の脆弱性(PCの乗っ取りに影響)の発見につき15,000ドルを提示していますが、今のところ報告はないそうです。Facebookでも我々がアクセスできる公式サーバではありませんが、社内サーバーにバックドアが見つかったことにつきセキュリティ業者が1万ドルの報奨金を獲得しており、「バグ賞金稼ぎ」はセキュリティー強化にたしかに貢献しているようです。