モバイル決済の米Squareは8月6日、セキュリティ関連のバグ発見に対し報奨金を支払うBug Bountyプログラムを発表した。条件を満たしたバグ報告者は最低250ドルを得ることができる。

「Bug Bounty」は外部のセキュリティ専門家らによるバグ発見に対して報償を払うバグ発見報奨金プログラムで、Google、Microsoftなどの技術企業がセキュリティ改善を目的に展開している。

「Bug Bounty」を実施している企業のリスト(bugcrowd.comより)

Squareもこれに倣うものとなり、「多数の事業者が自社のビジネスの運行と拡大をSquareに依存しており、これら顧客の保護はわれわれにとって最優先事項」と説明している。

Squareのプログラムはセキュリティ・Bug Bountyプログラムのプラットフォーム「HackerOne」を利用しており、同プラットフォーム上でバグを報告する。

Squareのバグを報告するページ

発見した問題の詳細情報をすべて共有すること、Squareが問題に対応できるのに十分な時間が経過する前に発見した問題を外部に公開しないこと、サービス体験などを意図的に損なわないこと、DDoS攻撃を試みないことなどが条件に挙げられている。報酬金額は250ドルからとなっている。

HackerOneは、MicrosoftとFacebookが開始したInternet Bug Bounty Program、Twitterなども利用している。