แนวทางการประกาศรางวัลเพื่อการรายงานช่องโหว่ความปลอดภัยซอฟต์แวร์เป็นแนวทางที่ได้ผลอย่างดีในช่วงหลายปีที่ผ่านมา นักล่ารางวัล (และล่าชื่อเสียง) รายงานช่องโหว่สำคัญๆ ก่อนที่จะมีการโจมตีเป็นวงกว้างจำนวนมาก แต่ Shopify Scripts โครงการ sandbox เพื่อการรันโค้ด Ruby ในสภาพแวดล้อมจำกัดของ Shopify ต้องจ่ายเงินรางวัลในวันเดียวกว่า 350,000 ดอลลาร์ จากการประกาศโครงการรายงานช่องโหว่นี้
โครงการ Shopify Scripts ให้รางวัลสูงสุด 20,000 ดอลลาร์สำหรับช่องโหว่ระดับสูง และลดหลั่นไปเรื่อยๆ หลังเปิดโครงการ ทาง Shopify ได้รับรายงานจำนวนมาก มีช่องโหว่ระดับสูงนับสิบรายการ จนกระทั่งเมื่อสัปดาห์ที่แล้วทางโครงการต้องประกาศลดเงินรางวัลลงเหลือสูงสุดเพียง 2,000 ดอลลาร์
ช่องโหว่ความปลอดของ Shopify Scripts ถูกแก้ไปแล้ว 49 รายการหลังเริ่มเปิดโครงการเพียงเดือนเดียว
บทเรียนครั้งนี้อาจจะเป็นบทเรียนสำคัญสำหรับบริษัทที่อยากเปิดโครงการช่องโหว่ความปลอดภัยบ้าง ว่าอาจจะต้องค่อยๆ เพิ่มเงินรางวัลไปเรื่อยๆ ไม่เช่นนั้นจะกลายเป็นการสร้างภาระทางการเงินหนักเกินไป
ที่มา - Hacker One