Prendete il caso di Gzob Qq (non è il suo vero nome, che è ignoto): a settembre dell’anno scorso ha scoperto una grave falla in Chrome OS, il sistema operativo usato dai computer Chromebook di Google, e l’ha segnalata a Google. L’azienda lo ha ricompensato con 100.000 dollari.
È già un bel risultato, ma poco tempo fa lo stesso ricercatore ha trovato un’altra falla in Chrome OS e si è aggiudicato altri centomila dollari di premio.
Non è l’unico caso: nel 2014 George Hotz aveva trovato una serie di falle importanti, sempre in Chrome OS, e si era aggiudicato un premio di 150.000 dollari, come racconta Naked Security.
Ricompense di questo livello richiedono competenze elevatissime e investimenti di tempo ingenti, ma esistono anche maniere relativamente più semplici di essere premiati per aver trovato una falla: per esempio, c’è il Google Play Security Reward Program, che offre mille dollari per ogni vulnerabilità scoperta in un’app Android di Google o di altri fornitori molto noti come Alibaba, Dropbox, SnapChat o Tinder.
Come mai tanta generosità? Alle aziende informatiche questi bug bounty costano meno di quanto costerebbe assumere a tempo pieno dei ricercatori di sicurezza e offrono pubblicità gratuita facendo parlare del proprio prodotto. Noi utenti, in cambio, abbiamo delle applicazioni meno insicure. Per cui se vi piace studiare la sicurezza informatica, datevi da fare: ma ricordatevi di seguire le linee guida per la gestione responsabile delle vostre scoperte.
6 commenti:
Quando lo smanettone scopre di avere il super potere, deve decidere...Eroe (aiutare a tappare le falle), o Hacker criminale (sfruttare le falle a scopi illeciti)?
Probabilmente queste "taglie", tra le varie motivazioni, hanno anche l'effetto collaterale di indurre lo scopritore delle falle (a.k.a. lo smanettone) a guadagnare subito del denaro "pulito" piuttosto che optare per introiti illegali e rischiosi. In questo modo si fa anche un po di pulizia nel cyber-tessuto sociale. Che ne dite?
Ragionando da italioti... un programmatore potrebbe inserire apposta delle falle che poi un suo complice "scopre".
50.000 dollari a testa :-D
Paolo:
"Alle aziende informatiche questi bug bounty costano meno di quanto costerebbe assumere a tempo pieno dei ricercatori di sicurezza e offrono pubblicità gratuita facendo parlare del proprio prodotto. "
Immagino che il motivo principale sia un altro.
Alle aziende informatiche conviene offrire un forte incentivo a denunciare immediatamente la scoperta di una falla, in modo da chiuderla prima che la stessa venga scoperta da un malfattore.
Ma allora quanto fa schifo Chrome OS? 😀 Scoprono tutte ste falle..
"Noi utenti, in cambio, abbiamo delle applicazioni meno insicure."
Da notare il "meno insicure" invece di "più sicure" :-)
@Martinobri
Per far ridere dovresti dirla in inglese.
A me mi hai fatto piangere perchè è troppo spiritosa ed accurata.
Posta un commento