Skip to main content  



About
Contact
Press
People
Opportunities
EFF's 35th Anniversary

Issues
Free Speech
Privacy
Creativity and Innovation
Transparency
International
Security

Our Work
Deeplinks Blog
Press Releases
Events
Legal Cases
Whitepapers
Podcast
Annual Reports

Take Action
Action Center
Electronic Frontier Alliance
Volunteer

Tools
Privacy Badger
Surveillance Self-Defense
Certbot
Atlas of Surveillance
Cover Your Tracks
Street Level Surveillance
apkeep

Donate
Donate to EFF
Giving Societies
Shop
Sponsorships
Other Ways to Give
Membership FAQ

Donate
Donate to EFF
Shop
Other Ways to Give

 

Email updates on news, actions,
  and events in your area.  
Join EFF Lists  


Copyright (CC BY)
Trademark
Privacy Policy
Thanks
 





Electronic Frontier Foundation 


Donate  








Electronic Frontier Foundation 




About
Contact
Press
People
Opportunities
EFF's 35th Anniversary

Issues
Free Speech
Privacy
Creativity and Innovation
Transparency
International
Security

Our Work
Deeplinks Blog
Press Releases
Events
Legal Cases
Whitepapers
Podcast
Annual Reports

Take Action
Action Center
Electronic Frontier Alliance
Volunteer

Tools
Privacy Badger
Surveillance Self-Defense
Certbot
Atlas of Surveillance
Cover Your Tracks
Street Level Surveillance
apkeep

Donate
Donate to EFF
Giving Societies
Shop
Sponsorships
Other Ways to Give
Membership FAQ

Donate
Donate to EFF
Shop
Other Ways to Give

 










Security Vulnerability Disclosure Program

 
PROJECT 









Security Vulnerability Disclosure Program

 









Also check out our EFF Security Hall of Fame to see the heroes that have already reported security vulnerabilities to us!

Overview


EFF is committed to protecting the privacy and security of users of our software tools. Our Vulnerability Disclosure Program is intended to minimize the impact any security flaws have on our tools or their users. EFF's Vulnerability Disclosure Program covers select software partially or primarily written by EFF.

Scope: Software Written by EFF


EFF's Vulnerability Disclosure Program applies to security vulnerabilities discovered in any of the following software:

HTTPS Everywhere (for Chrome and Firefox)
Privacy Badger
Certbot
Boulder

In order to qualify, the vulnerability must exist in the latest public release (including officially released public betas) of the software. Only security vulnerabilities will qualify. We would love it if people reported other bugs via the appropriate channels, but since the purpose of this program is to fix security vulnerabilities, only bugs that lead to security vulnerabilities will be eligible for rewards. Other bugs will be accepted at our discretion.

Guidelines


Please adhere to the following guidelines in order to be eligible for rewards under this disclosure program:

Do not permanently modify or delete EFF-hosted data.
Do not intentionally access non-public EFF data any more than is necessary to demonstrate the vulnerability.
Do not DDoS or otherwise disrupt, interrupt or degrade our internal or external services.
Do not share confidential information obtained from EFF, including but not limited to member or donor payment information, with any third party.
Social engineering is out of scope. Do not send phishing emails to, or use other social engineering techniques against, anyone, including EFF staff, members, vendors, or partners.

In addition, please allow EFF at least 90 days to fix the vulnerability before publicly discussing or blogging about it. EFF believes that security researchers have a First Amendment right to report their research and that disclosure is highly beneficial, and understands that it is a highly subjective question of when and how to hold back details to mitigate the risk that vulnerability information will be misused. If you believe that earlier disclosure is necessary, please let us know so that we can begin a conversation.

Reporting


Just as important as discovering security flaws is reporting the findings so that users can protect themselves and vendors can repair their products. Public disclosure of security information enables informed consumer choice and inspires vendors to be truthful about flaws, repair vulnerabilities, and build more secure products. Disclosure and peer review advances the state of the art in security. Researchers can figure out where new technologies need to be developed, and the information can help policymakers understand where problems tend to occur.
On the other hand, vulnerability information can give attackers who were not otherwise sophisticated enough to find the problem on their own the very information they need to exploit a security hole in a computer or system and cause harm. Therefore we ask that you privately report the vulnerability to EFF before public disclosure.
To report a vulnerability, please submit an issue to the appropriate project. The Certbot repository is at https://github.com/certbot. Our other projects are hosted at https://github.com/efforg. If you wish to report a problem with our web servers, or other systems, please send an email to info@eff.org with details.
If you do not want to be publicly thanked on our EFF Security Hall of Fame page (or elsewhere), please let us know that you want your submission to be confidential in your report email. We can still provide rewards for confidential submissions, if you like.
We are also happy to accept anonymous vulnerability reports, but of course we can't send you our thanks if you report a vulnerability anonymously.
We will make every effort to respond to valid reports within seven business days.
The validity of a vulnerability will be judged at the sole discretion of EFF.
Coders Rights Project Vulnerability Reporting FAQ

Rewards


Not all reported issues may qualify for a reward. Rewards are awarded at EFF's sole discretion. As a member-driven nonprofit we are unable to afford cash bounties (sorry!), but can offer non-cash rewards, including:

Public acknowledgement on our EFF Security Hall of Fame page,
EFF gear (stickers, etc.),
Complimentary EFF memberships,
Opportunities to tour the EFF office and meet with EFF staff, and
Complimentary tickets to EFF events like the EFF Awards for especially severe vulnerabilities.

If you would like a particular reward (e.g., you already have a t-shirt and would prefer a sticker pack), please let us know when you report the vulnerability. While the reward EFF provides in exchange for disclosing a vulnerability under this policy will be up to the sole discretion of EFF, we will certainly take your request into consideration.
Please note that in some cases we will be unable to provide a physical reward if the shipping cost is prohibitively expensive, or if we have had difficulties shipping to your area before. In particular, at this time we are unable to ship physical rewards to India and Pakistan.
Only the first report we receive about a given vulnerability will be rewarded. We cannot send rewards where prohibited by law (i.e. North Korea, Cuba, etc.).
 













Back to top
  

EFF Home

Follow EFF:



mastodon
facebook
instagram
x
Blue Sky
youtube
flicker
linkedin
tiktok
threads
 

Check out our 4-star rating on Charity Navigator.
  

Contact


General
Legal
Security
Membership
Press
 

About


Calendar
Volunteer
Victories
History
Internships
Jobs
Staff
Diversity & Inclusion
 

Issues


Free Speech
Privacy
Creativity & Innovation
Transparency
International
Security
 

Updates


Blog
Press Releases
Events
Legal Cases
Whitepapers
EFFector Newsletter
 

Press


Press Contact
 

Donate


Join or Renew Membership Online
One-Time Donation Online
Giving Societies
Corporate Giving and Sponsorship
Shop
Other Ways to Give
 



Copyright (CC BY)
Trademark
Privacy Policy
Thanks
 
JavaScript license information