headless 曰く、

英国防省(MOD)は8日、MODのシステムやサービスに関する脆弱性開示ポリシーを発表した(ガイダンス、 The Registerの記事、 HackerOne報告ページ)。

MODへの脆弱性報告はHackerOneを使用するが、あくまで脆弱性開示プログラムであり、報奨金は支払われない。手間暇をかけて脆弱性を報告する人を評価すると述べる一方、脆弱性開示と引き換えに金銭的補償を求めることは禁じている。

このほか、違法行為や必要以上のデータアクセス、データ改変、MODスタッフやインフラストラクチャーに対するソーシャルエンジニアリング攻撃や物理的な攻撃、DoSなどが禁じられる。また、悪用できない脆弱性やTLS構成の弱さなどに関する報告は受け付けない。データ保護のルールに従ってデータを扱い、必要のなくなったデータを破棄することなども求められる。

このようなポリシーに従って脆弱性を報告する限り、報告者が訴追されることはないとのことだ。