Cerca nel blog

2017/11/24

Scopre falle informatiche, ricompensato con 100.000 dollari. Due volte

Il ricercatore di sicurezza informatica è uno di quei mestieri che di solito si fanno per vocazione e passione, ma ogni tanto può essere anche fonte di guadagno tutt’altro che trascurabile.

Prendete il caso di Gzob Qq (non è il suo vero nome, che è ignoto): a settembre dell’anno scorso ha scoperto una grave falla in Chrome OS, il sistema operativo usato dai computer Chromebook di Google, e l’ha segnalata a Google. L’azienda lo ha ricompensato con 100.000 dollari.

È già un bel risultato, ma poco tempo fa lo stesso ricercatore ha trovato un’altra falla in Chrome OS e si è aggiudicato altri centomila dollari di premio.

Non è l’unico caso: nel 2014 George Hotz aveva trovato una serie di falle importanti, sempre in Chrome OS, e si era aggiudicato un premio di 150.000 dollari, come racconta Naked Security.

Ricompense di questo livello richiedono competenze elevatissime e investimenti di tempo ingenti, ma esistono anche maniere relativamente più semplici di essere premiati per aver trovato una falla: per esempio, c’è il Google Play Security Reward Program, che offre mille dollari per ogni vulnerabilità scoperta in un’app Android di Google o di altri fornitori molto noti come Alibaba, Dropbox, SnapChat o Tinder.

Come mai tanta generosità? Alle aziende informatiche questi bug bounty costano meno di quanto costerebbe assumere a tempo pieno dei ricercatori di sicurezza e offrono pubblicità gratuita facendo parlare del proprio prodotto. Noi utenti, in cambio, abbiamo delle applicazioni meno insicure. Per cui se vi piace studiare la sicurezza informatica, datevi da fare: ma ricordatevi di seguire le linee guida per la gestione responsabile delle vostre scoperte.

6 commenti:

Diego Laurenti ha detto...

Quando lo smanettone scopre di avere il super potere, deve decidere...Eroe (aiutare a tappare le falle), o Hacker criminale (sfruttare le falle a scopi illeciti)?

Probabilmente queste "taglie", tra le varie motivazioni, hanno anche l'effetto collaterale di indurre lo scopritore delle falle (a.k.a. lo smanettone) a guadagnare subito del denaro "pulito" piuttosto che optare per introiti illegali e rischiosi. In questo modo si fa anche un po di pulizia nel cyber-tessuto sociale. Che ne dite?

martinobri ha detto...

Ragionando da italioti... un programmatore potrebbe inserire apposta delle falle che poi un suo complice "scopre".
50.000 dollari a testa :-D

pgc ha detto...

Paolo:

"Alle aziende informatiche questi bug bounty costano meno di quanto costerebbe assumere a tempo pieno dei ricercatori di sicurezza e offrono pubblicità gratuita facendo parlare del proprio prodotto. "

Immagino che il motivo principale sia un altro.

Alle aziende informatiche conviene offrire un forte incentivo a denunciare immediatamente la scoperta di una falla, in modo da chiuderla prima che la stessa venga scoperta da un malfattore.

Il Lupo della Luna ha detto...

Ma allora quanto fa schifo Chrome OS? 😀 Scoprono tutte ste falle..

Gianluca ha detto...

"Noi utenti, in cambio, abbiamo delle applicazioni meno insicure."

Da notare il "meno insicure" invece di "più sicure" :-)

puffolottiaccident ha detto...

@Martinobri

Per far ridere dovresti dirla in inglese.
A me mi hai fatto piangere perchè è troppo spiritosa ed accurata.