skip to main | skip to sidebar
11 commenti

Informatici trovano falle nel sito di una compagnia aerea: ricompensati con un milione di miglia gratuite

In questi giorni grazie alla vicenda di HackingTeam si parla parecchio di come gli informatici trasformano in moneta sonante le proprie scoperte di falle di sicurezza vendendole sul mercato nero a gruppi criminali o a società che lavorano per governi, ma ci sono modi meno controversi di trarre guadagno dalla bravura informatica. Esistono infatti i cosiddetti bug bounty, ossia premi dati a chi trova e segnala in modo responsabile le falle di un software o di un sito.

Un bell'esempio di questi bug bounty arriva dagli Stati Uniti, dove la compagnia aerea United ha ricompensato due informatici per aver scoperto e segnalato responsabilmente (in privato, senza discuterne pubblicamente) delle falle nella sicurezza del sito della compagnia stessa: un milione di miglia di voli gratuiti a testa, sufficienti a pagare decine di voli interni negli USA.

Incentivi di questo genere sono comuni nel settore informatico: li offrono per esempio Google, Facebook e Yahoo. Sono assai meno comuni in altri settori, come appunto quello dell'aviazione civile, che pure ne ha bisogno. Non va dimenticato, infatti, che proprio la United è stata colpita l'8 luglio scorso da un problema informatico che ha causato ritardi considerevoli a centinaia di voli: un guasto hardware, non un attacco, secondo le dichiarazioni della compagnia aerea, ma in ogni caso una dimostrazione di quanto anche il traffico aereo dipenda dai computer.

Cosa ancora più importante, offrire a chi è bravo a trovare falle informatiche una maniera legale di trarre profitto dal proprio talento significa distoglierlo dal mondo del crimine digitale, e questo aumenta la sicurezza di tutti.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (11)
Beh, FaceBook non si è comportato nello stesso modo: quando Khalil Shreateh li ha informati di un modo per violare gli account (premio minimo 500 dollari), FB gli ha risposto che "non si trattava di un BUG".
Per tutta risposta Khalil ha violato l'account di nientemeno che sua maestà Mark Zuckerberg, spiegando i motivi del suo gesto, e non alterando nulla del profilo di Mark.
Per questo è stato bannato ed escluso da FaceBook, senza ricevere un dollaro. Subito dopo hanno corretto il BUG.
Pagano in natura? A questo punto tanto vale esporre i bug in modo pubblico e farsi personal branding come esperto di sicurezza.
> un milione di miglia di voli gratuiti a testa, sufficienti a pagare decine di voli interni negli USA.

Un milione di miglia (nautiche) sono 1.852.000 km, cioè circa 46 volte il giro del Mondo, o fare un paio di volte il tragitto Terra-Luna e ritorno ;-)
Donato,

le miglia-premio delle iniziative promozionali delle compagnie aeree di solito non equivalgono a miglia reali. Sono simili a punti, per cui un milione di miglia equivale a quanto indicato. Per esempio, ié sistema della United chiede da 30.000 a 300.000 "miglia"-premio per un volo dagli USA all'Europa, in base alla tariffa e alla classe.
@rico:

Non è andata esattamente così...
Dopo aver scoperto il bug, non l'ha segnalato direttamente, ma l'ha utilizzato per postare sulla bacheca di un'amica di Zuckerberg, e ha inviato una segnalazione con il link al suo post, dicendo che quella era la prova dell'esistenza del bug, senza fornire una descrizione del bug.

L'impiegato che ha ricevuto la segnalazione, non essendo amico di questa persona, non ha potuto verificare e quindi ha rigettato la segnalazione.
Probabilmente l'impiegato è stato un po' sbrigativo, ma una condizione del programma di ricompensa bug è che non sia testato su un utente reale (altrimenti posso potenzialmente sfruttarlo e poi farmi pure pagare), quindi prima ancora di segnalarlo il ragazzo s'era già squalificato in partenza.
Inoltre, magari non del tutto volontariamente, ha sbagliato di grosso chiedendo quale sarebbe stata la ricompensa prima di descrivere il bug, e questo può essere visto tranquillamente come un ricatto.

Infine ha deciso, di fronte al rifiuto alla ricompensa, invece di spiegare il bug, di attirare l'attenzione usandolo per scrivere sulla bacheca di Zuckerberg, e lì s'è guadagnato la disattivazione definitiva dell'account.

Il White Hat segnala il bug, lo descrive, poi se riceverà una ricompensa bene, altrimenti pazienza. Rimanere sul vago o pretendere il pagamento prima di segnalare, è un comportamento diverso e squalificante.

Sul fatto che poi le ricompense da loro offerte siano minime in confronto all'entità dei danni che i bug segnalati potrebbero causare, sono d'accordo anch'io. Uno è libero di vedere se gli conviene riportare il bug o venderselo, ma poi se ne prenda la responsabilità e non si lamenti se si è comportato in maniera non corretta...
@Tukler: se entri in casa di una mia amica e lasci un biglietto, potrei anche dirti che la mia amica ha lasciato la porta aperta.
Poi entri in casa mia e mi lasci un altro biglietto, dicendomi che ho un problema di serratura, io ti ringrazierei e ti offrirei anche denaro in cambio del "BUG", cioè di sapere come hai fatto.
Mark Zuckerberg non si è comportato così, questo è quanto.
@ rico

Se Tuckler entra in casa della tua amica e lascia un biglietto, la tua amica ha il diritto di denunciarlo per effrazione.

Se poi entra a casa tua e lascia un altro biglietto, è recidivo.
@Stupidocane: certo, a meno che io non abbia detto a tutti: "Provate ad entrare nelle case che ho fatto, vi do almeno 500 dollari se poi mi dite come avete fatto". Pubblicità ingannevole e istigazione a delinquere, se proprio vogliamo vedere tutti i cavilli.
@ rico

Uhm, credo che suoni più come "Provate ad entrare nelle case che costruisco io. Se trovate il modo e me lo dite prima di farlo vi do 500 US. Se trovate il modo e non me lo dite prima di farlo vi denuncio".
Il che non rende giustizia al debugger in questione...
@Stupidocane: se non lo faccio non mi credi, e se non tocco nulla in casa tua, dovresti quantomeno prendere in considerazione il fatto che io non sia un comune ladro o rapinatore.
Le chiacchere stanno a zero: chi dimostra di saper violare facebook non viene premiato ma punito, anche se non ruba e non cambia nulla. Mille calci in c... anzichè millemiglia.