Ovviamente l’informatico che scopre una vulnerabilità è tenuto a non rivelarla a nessuno a parte l’azienda o ente che offre il bug bounty, in modo che sia possibile correggerla prima che diventi nota e venga sfruttata.
Le Poste Svizzere offrono da pochi giorni uno di questi bug bounty, con ricompense da 50 fino a 10.000 franchi. Non è la prima volta che lo fa, ma in questo caso l’iniziativa è aperta a tutti, mentre in passato era accessibile soltanto su invito.
Va notato, in particolare, che le Poste Svizzere offrono un
safe harbor, ossia un’immunità da conseguenze legali per chi effettua
test e indagini sui sistemi informatici seguendo le regole di un
bug bounty. Senza questa tutela giuridica, infatti, una violazione di
un sistema informatico sarebbe considerata un reato.
Per maggiori informazioni si può consultare la pagina apposita del sito delle Poste Svizzere, che porta a yeswehack.com/programs/swiss-post, dove è riportato il regolamento del bug bounty e c’è anche una hall of fame.
Le Poste spiegano di aver già trovato 500 vulnerabilità e di aver pagato circa 250.000 franchi in ricompense da quando è stato lanciato il programma, che ha dimostrato di essere efficacissimo, come racconta in dettaglio Sandro Nafzger, responsabile del programma.
A chi non conosce il settore può sembrare strano, e persino immorale, che un’azienda paghi profumatamente degli hacker per penetrare nei suoi sistemi e mostrarne le falle. Ma i bug bounty costano molto, molto meno di un test tradizionale svolto da professionisti e funzionano. Come conseguenza non trascurabile, tengono i talenti informatici al riparo dalle tentazioni del crimine organizzato.
Secondo i dati pubblicati di recente dalla società di sicurezza Digital Shadows, infatti, le bande specializzate in reati informatici pagano cifre notevoli a chi vende loro accessi a sistemi aziendali. Un semplice initial access broker, ossia una persona che trova una falla in un sistema ma non la sfrutta e invece la rivende ad altri, diventando l’equivalente informatico di una persona che scassina una cassaforte e poi se ne va, lasciando ad altri il compito di vuotarla e riciclare il bottino, può guadagnare in media dai 7000 ai 9000 dollari. E questo genere di attacco è aumentato fortemente per via del lavoro da remoto di molte persone durante questa pandemia.
Nessun commento:
Posta un commento
Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.