麻省理工学院发布了一个测试版的漏洞奖励计划,旨在保护学校和研究所的网络域名和软件安全。
目前该漏洞奖励计划尚未对外开放,且由于正处于测试阶段,因此尚未发布奖金数目。麻省理工学院的人员不论是学生还是其他人员都可以申请该项目。不过这些入选者不允许读、写、或利用在测试安全漏洞期间有权访问的任何隐私数据,而且这些测试也不应当扰乱学校服务。此外,在漏洞“完全被解决之前”,发现漏洞的人员不能公开这些漏洞。另外一个要求是用户在发现漏洞的过程中,不允许使用自动扫描器。
目前可从一些目标下手发现漏洞,包括麻省理工学院的学生门户网站、Atlas服务平台和Stellar域名。此外,漏洞奖励站点也包括在内。该计划寻找的漏洞类型包括可导致远程代码执行、SQL注入、验证绕过漏洞、信息泄露、跨站点脚本以及跨站点请求伪造漏洞。而物理攻击或社工技术不包括在内。
目前,该漏洞计划对学生的奖励是提供TechCASH,也就是麻省理工学院的校园卡。不过如果该计划被证明是有价值的话,可能会向第三方研究人员开放并提供其它非校园类奖励。