Компания The Browser Company, разработчик браузера Arc, объявила о запуске программы вознаграждения за обнаружение уязвимостей (bug bounty). Это решение было принято после того, как в браузере была обнаружена критическая уязвимость CVE-2024-45489, позволяющая злоумышленникам совершать массовые атаки.
Уязвимость была связана с использованием Firebase для аутентификации и управления базами данных. Она позволяла выполнять произвольный код в браузере пользователя, что могло привести к серьезным последствиям. Исследователь, обнаруживший эту проблему, назвал её «катастрофической».
Проблема была устранена 26 августа 2024 года, после того как исследователь сообщил о ней и получил вознаграждение в размере 2000 долларов. Теперь компания предлагает вознаграждение за обнаружение уязвимостей в Arc для macOS и Windows, а также в Arc Search для iOS.
Вознаграждения варьируются от 500 долларов за незначительные баги до 20 000 долларов за критические уязвимости. В сообщении компании отмечается, что в связи с обнаруженной уязвимостью была отключена автосинхронизация Boosts с JavaScript. В новой версии Arc (1.61.2), выпущенной 26 сентября, появилась возможность полного отключения всех функций, связанных с Boost.
Также в ближайшие недели будет представлен инструмент для отключения Boosts на уровне организаций. Компания уже начала аудит всех систем Arc, пересматривает процесс реагирования на инциденты и разрабатывает новые рекомендации для разработчиков. Собственная команда безопасности The Browser Company также планирует расширить штат.