Forse non tutti conoscono le piattaforme di bugscouting. Uno dei più famosi è HackerOne. La piattaforma mette in comunicazione le aziende e gli hacker. Le prime si impegnano a riconoscere ai secondi una ricompensa (un bounty) qualora questi identifichino un bug di sicurezza che rientri in determinati canoni.
Questo, ad esempio, è il bounty policy di NextCloud (https://hackerone.com/nextcloud):
Scorrendo nella sezione hacktivity è possibile vedere le ultime vulnerabilità scovate. Particolare interesse generano i servizi finanziari, ad esempio questa schermata è quella di Paypal. Alcuni casi sono ovviamente secretati, questo avviene spesso nel caso in cui la soluzione al problema richieda del tempo, ma è una politica aziendale (Intel, ad esempio, secreta tutto, a differenza proprio di NextCloud).
Bhè, non c'è che dire, i dati parlano chiaro, Paypal ha pagato quasi 1 milione di dollari in ricompense, e di recente i casi riportati hanno avuto in media dai 18.000 ai 23.000 dollari di bounty.
Cliccando sull'hacker che ha più contribuito verso Paypal, scopriamo che nell'ultimo biennio ha guadagnato quasi 40.000 dollari.
Intendiamoci, unità di misura nettamente inferiori rispetto a quanto avrebbero fruttato le stesse vulnerabilità se applicate per fini fraudolenti. Ma addormentarsi di sera sapendo di non aver commesso alcun reato e, anzi, aver aiutato l'intero mondo informatico rendendolo "un posto migliore" (come cita il motto di HackerOne) è una sensazione a cui un "hacker etico" o "White Hat" non rinuncia per nulla al mondo.
Per le aziende certamente è un segno di grandissima professionalità (oltre che un risparmio economico enorme) avere un programma di bounty pubblico. Insomma, da piattaforme di questo tipo ci guadagnano davvero tutti.
Discaimer: Ogni articolo di questo blog è stato
integralmente scritto dall'autore. Il contenuto è completamente
originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.
