Pour la découverte de vulnérabilités de sécurité, Mozilla a mis en place un programme de rétribution lancé en 2004. Via la découverte de failles affectant des produits Mozilla et le partage des informations liées, les chercheurs en sécurité tiers sont récompensés en dollars. Une sorte de chasse aux bugs de sécurité qui peut donc se révéler lucrative.

Depuis 2004, Mozilla estime que beaucoup de choses ont changé. " Nous pensons que l'une des meilleures manières de garder nos utilisateurs en sécurité est de rendre ce programme économiquement viable pour les chercheurs en sécurité afin qu'ils fassent le bon choix lorsqu'ils divulguent des informations ".

Mozilla n'ira pas jusqu'à critiquer ouvertement la divulgation publique de vulnérabilités comme l'a récemment fait Microsoft, ce qui a valu à la firme de Redmond de se mettre à dos plusieurs chercheurs en sécurité. Mozilla se veut plus diplomatique, même si l'on sent la même idée sous-jacente.

Pour motiver les troupes et œuvrer dans le sens d'une divulgation responsable de vulnérabilités, la rétribution pour une découverte passe ainsi de 500 dollars à 3 000 dollars, et avec toujours le T-shirt  Mozilla.

Ces vulnérabilités doivent ne pas avoir été déjà mises au jour, permettre une exécution de code à distance, être présentes dans les versions les plus à jour, beta ou RC de Firefox, Thunderbird, Firefox Mobile ou dans des services Mozilla. Les vulnérabilités pour des plugins ou extensions sont exclues du programme de rétribution.

Ce programme de Mozilla a inspiré Google pour une chasse aux bugs de sécurité, dans Google Chrome ou son socle open source Chromium, lancée en début d'année. Plusieurs découvreurs ont déjà été récompensés avec des sommes de base de 500 $ et jusqu'à 2 000 $ pour un chercheur en juin.