Hackers en onderzoekers die kwetsbaarheden in de producten en diensten van Mozilla vinden en rapporteren zullen niet door de opensource-ontwikkelaar worden bedreigd. Ook zullen er geen juridische stappen worden ondernomen, zo meldt Mozilla in een aanpassing van het "bug bounty" programma.

Mozilla was in 2004 één van de eerste organisaties die met een beloningsprogramma kwam voor onderzoekers die kwetsbaarheden rapporteren. Sindsdien zijn tal van andere bedrijven soortgelijke programma's gestart. De juridische bescherming die deze programma's bieden loopt volgens Mozilla nog steeds achter, waardoor onderzoekers risico lopen en beveiligingsonderzoek mogelijk wordt onderdrukt.

Mozilla zegt dat het geregeld van onderzoekers te horen krijgt dat ze bang zijn dat de Amerikaanse overheid of bedrijven juridische stappen zullen ondernemen vanwege hun beveiligingsonderzoek. Zo kan de Amerikaanse Computer Fraud and Abuse Act (CFAA) worden gebruikt om onderzoekers aan te pakken die de veiligheid van systemen testen. Mozilla heeft zich al eerder negatief over de CFAA uitgelaten

Om onderzoekers meer zekerheid te geven heeft de opensource-ontwikkelaar daarom het eigen bug bounty-programma aangepast. De eerste aanpassing betreft de vermelding dat deelnemers geen data van gebruikers mogen benaderen, aanpassen, verwijderen of opslaan. Om deelnemers aan het beloningsprogramma te beschermen moeten eerst de grenzen van het programma worden omschreven, aldus de uitleg. Ten tweede stelt Mozilla dat het onderzoekers die de regels van het beloningsprogramma volgen niet zal bedreigen of aanklagen.